假设用户在MVC Web应用程序的页面上的HTML输入(文本框)中输入敏感数据(如SSN等)。
在发送之前保护该数据的方法是什么(通过表单,URL查询字符串等)。 ASP .NET MVC是否提供了这样做的机制?
P.S。我想知道如何使用MVC,而不是HTTPS或其他基于基础设施/传输/等的东西
答案 0 :(得分:0)
在Web服务器和客户端的Web浏览器之间安全地发送任何敏感消息的唯一(可实现的)方式是通过HTTPS / SSL - 否则,您的消息将始终被MITM攻击拦截,这不是真的有proper HTTPS setup(和this post)。
理论上你可以定制一个自定义JS加密和自定义解密,但即使这样,你的JS也可以很容易地被打断并最终被去混淆,假设它甚至被开始混淆,这将不再保护你的自定义加密,假设你可以让它安全地开始工作。
此answer详细说明了在没有HTTPS / SSL的情况下无法保护Web应用程序的原因。
答案 1 :(得分:0)
MVC只是一种架构设计模式,微软将其设置为开发Web应用程序的标准。许多其他框架使用MVC作为在其框架下开发Web应用程序的模式(exp。Spring MVC)。基本上MVC无处不在,如果你没有看到模型,视图,控制器文件夹,请相信我,不要感到困惑。所以关于敏感信息,有防止跨站点请求伪造和其他黑客攻击的机制,但是如果您通过http发送请求,它是无用的,那么您发送的是裸体请求,每个人都可以轻易地嗅探。这就是为什么在将敏感数据从您的计算机传递到服务器的地方总是使用https的原因。每次打开与服务器的连接时,例如发布表单,https都会为您提供与服务器的加密通信,您可以在其中无需担心地传递敏感数据。这是基本概念,它适用于您选择的任何框架。所以你的答案是否定的。 以下是您可以如何保护asp.net app的链接。