- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
当我们在任何 ASP.NET 框架(ASP.NET MVC、Web 窗体等)中使用 ASP.NET 表单例份验证时,我们会在客户端浏览器中保留身份验证 cookie。作为最佳实践,我们将 cookie 设置为 HttpOnly 和安全。我们还通过 SSL 进行所有交易。无论我们使用何种机制来对用户进行身份验证(OAuth、ASP.NET Membership Provider 等),我们仍然需要坚持身份验证以获得更好的用户体验。
有了所有这些,我假设有人仍然可以从客户端浏览器中获取 cookie 并使用这些 auth cookie 值发出请求。服务器无法检测到这一点,我们会将 protected 数据提供给其他人。
我想降低风险的一个想法是每次当他/她试图采取一些严肃的行动(例如更改电子邮件地址、访问个人资料信息等)时询问客户的密码,但这并不'解决任何问题,这对客户来说可能会很烦人。
对于此类问题,您是否有积极遵循的方法?或者在客户端浏览器中保留身份验证的最佳方式是什么?
最佳答案
你几乎做的一切都是为了和你在一起。
如果您使用的是成员(member)提供程序,那么该 cookie 将被标记为仅 HTTP(如您所说),因此无法通过客户端脚本(例如恶意 XSS)访问它。
如果您已将 cookie 标记为安全,那么我假设您已将 forms auth 上的“RequireSSL”标志设置为 true。通过这样做,cookie 不会在任何不通过 HTTPS 发出的请求中发送到服务器,因此即使您不小心插入了 HTTP 请求(如果内容嵌入在HTTPS 页面),则不会发送 cookie。
您唯一可以做的另一件事 - 这并不能在您已有的基础上提供太多防御,但这是一个很好的做法 - 就是也使用 HSTS。我在 OWASP Top 10 for .NET developers part 9: Insufficient Transport Layer Protection 中谈到了这个作为确保请求继续通过安全通道发送的额外手段。
如果不对成员(member)提供程序进行认真的重新设计,您真的无能为力。您可以将 session 绑定(bind)到一个 IP,如果它发生变化则不接受请求,但这可能会导致问题(即 IP 发生变化并且不能保护您免受同一地址上的多个人的影响)。您还可以创建浏览器的指纹(即请求 header 中发送的所有内容)并确保后续请求匹配,但我们将在此处详细介绍。
不过,归根结底,安全措施应该根据其所保护 Assets 的值(value)和恶意事件的可能性进行调整。你不会说 你要保护的是什么,但如果它是一个金融系统,你将比它是一个简单的博客评论引擎更努力。
总而言之,看起来您做得很好,只需考虑您所实现的措施是否适合您所保护的对象的值(value)。哦 - 如果您使用 SQL 成员身份提供程序进行凭据存储,请务必阅读 Our password hashing has no clothes然后停止这样做!
关于ASP.NET 表单例份验证和持久身份验证 Cookie 安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11792674/
我在 mongodb 中的玩家和锦标赛之间存在多对多关系。 我希望能够一次将许多玩家添加到锦标赛中。如果没有 ajax,这很简单,但我们有一个包含数千名玩家的数据库,因此表单选择变得巨大。 我们想为此
这个问题已经有答案了: When should I use html's and when spring's in Spring MVC web app? (3 个回答) 已关闭 6 年前。 我正
我正在 C++ Builder XE4 上使用 VCL。 我有以下组件。 FormMain 具有 TButton *B_select; FormSelect(或DialogSelect)具有 TCom
如何在不影响表单控件的情况下更改表单的 alphablend? 德尔福XE7 最佳答案 此问题的一个解决方案是使用多设备应用程序(如果无法使用VCL)。 如果您需要保留透明的TForm,只需更改属性T
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我正在尝试扩展 Django 注册以包含我自己的注册表单。原则上这是相当简单的。我只需要编写自己的表单( CustomRegistrationForm ),它是原始表单( RegistrationFo
我正在尝试为我的网站实现聊天功能。为了做到这一点,我遵循了以下教程:https://channels.readthedocs.io/en/latest/tutorial/ 然后我稍微更改了代码以实现它
有一个问题,我需要用一个 html 表单提交两个相互关联的模型表单。我知道如何提交两个单独的表格,但是在相关模型表格的情况下外键让我发疯。 问题是,第二个表单应该用外键填充字段到第一个表单的实例。 在
我正在创建一个工具,允许某人输入食谱,然后将其保存为 XML 文件,我已经创建了 XSD,但我想知道如何在我的网页上制作一个表单以允许用户输入他们的食谱并遵守模式。我一直在研究 Ajax 和 Jque
在 .net win 表单(如 asp.net web 表单)中是否有可用的验证控件? 因为很难为我的每个控件设置正确的条件,所以我的表单中也有很多重复的代码。 正确的做法是什么? 最佳答案 看看这个
我有一个简短的问题。我正在学习如何使用 javascript 制作注册表,发现此链接非常有用。 http://www.w3resource.com/javascript/form/javascript
我正在开发一个项目,该项目将使用循环将许多表单添加到 mysql 数据库中。在 javascript 部分中,我无法让 var i 在函数 updatesum() 中工作。有人可以帮我吗? 我试图避免
在我的应用程序上有一个包含 2 个字段和一个保存按钮的表单。 在我的 onClick 结束时我需要什么来将光标返回到第一个字段。 我有这个来清除它们 txtData.setText("
这个问题不太可能帮助任何 future 的访问者;它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况有关,这些情况并不普遍适用于互联网的全局受众。为了帮助使这个问题更广泛地适用,visit
<input type="text" name="textfield" onKeyPress="javascript:alert(event.
我正在构建的网站有一个登录表单,作为所有其他模板扩展的 base.html 模板的一部分;因此,我需要以某种方式处理每个页面上的登录/注销逻辑。 目前每个页面都在单独的 View 中加载,那么实现它的
我有一个表单类,看起来像.. #forms.py class ExampleForm(forms.Form): color = forms.CharField(max_length=25)
有没有办法在表单定义中给表单一个特殊的错误渲染函数?在 customizing-the-error-list-format 下的文档中它展示了如何为表单提供特殊的错误呈现函数,但似乎您必须在实例化表单
我正在处理由多个页面组成的表单,我想解决验证问题。 当我点击提交按钮时,当前页面上的所有字段都会在下方显示错误消息,但是如果我更改页面,那么我需要再次点击提交,因为这些字段未设置为已触摸。 如果我可以
是否可以附加到继承表单的 exclude 或 widgets 变量? 到目前为止,我有以下设置。 class AddPropertyForm(forms.ModelForm): num_mon
我是一名优秀的程序员,十分优秀!