Безопасность
В этой главе рассматриваются:
- Обязательная аутентификация и авторизация
- Предотвращение атак межсайтового скриптинга
- Снижение риска межсайтовой подделки запроса
- Как избежать атаки JSON hijacking
В предыдущих главах мы рассмотрели Ajax и валидацию на стороне клиента. В этой главе мы продолжим обсуждать проблемы на стороне клиента и научимся защищать наши приложения от вредоносного ввода. Безопасность является одним из важнейших вопросов для онлайн-сервисов. Мы часто видим сообщения в новостях о громких взломах систем, где хакеры смогли украсть личную информацию или в сети были раскрыты конфиденциальные данные.
Печальная реальность такова, что многие из этих инцидентов можно было бы легко предотвратить. Как разработчикам нам необходимо создавать наши приложения с учетом требований безопасности для предотвращения такого рода проблем.
Хотя безопасность является достаточно большой темой, достойной отдельной книги, в этой главе мы рассмотрим некоторые возможности ASP.NET MVC для защиты наших приложений. Мы рассмотрим простые механизмы для реализации аутентификации и авторизации, которые предоставляет ASP.NET MVC, некоторые общие векторы атак и как можно снизить риски от таких атак, как межсайтовый скриптинг (XSS), межсайтовая подделка запросов (XSRF) и особый тип XSRF - JSON hijacking.
