嗨,我完全失去了一项重要的任务。
我的团队正在建立外部网站,并且已经购买了证书。我正在研究asp.net身份验证样式,看起来像表单身份验证是要走的路。但是,在查看了Microsoft文档link之后,它表示可以用明文显示登录信息。任何人都可以指出我正确的方向或让我知道从哪里开始这个登录页面?
我们有一个网络安全团队,他们会看到这个,并会通过或失败我们的网站,这就是我要问的原因。
答案 0 :(得分:0)
跨站点请求伪造(CSRF)问题是此处的主要问题。如果您在站点上使用SSL / HTTPS,则密码可能以明文形式发送,但通过加密连接发送。
答案 1 :(得分:0)
内置的默认身份验证会自动对数据库中的密码进行哈希处理。在IIS中配置ssl很简单。在您的控制器上,您可以使用[ValidateAntiForgeryToken]数据注释来防止csrf攻击。还把它放在视图中以及htmlhelpers.Im老老实实地感到困惑,密码以明文形式发送。如果你的超级担心安全我做什么我只授权某些用户在部署之前查看页面。