开发Web应用程序应注意的安全,,CIO之家

开发Web应用程序应注意的安全

佚名　　http://blog.csdn.net/jelink/archive/2006/10/13/133　　综合　　编辑:dezai　　图片来源:网络

写Web开发时，很多时候会忽略到安全性问题。以个人在实施工程时比较多用到的安全技术作为探讨吧。 1.SQL injection 这个已

写Web开发时，很多时候会忽略到安全性问题。
以个人在实施工程时比较多用到的安全技术作为探讨吧。

1.SQL injection
这个已经是老话题了。但在很多时候自己写程序的时候也会偶而出现这样的问题。因为这样的注入式攻击在一个程序中是可以说潜在的可能性是随项目工程的越大而越多的。
解决的方法是：
严格的控制用户的输入，对数据的进行严格的控制。其中包括有用户字符输入，数据表单的验证及防止刻意的篡改参数。
如：多用ADO.net的API。存储过程等。

2.跨站脚本执行
把用户提交的HTML标签转换为HtmlEncode。
如：Label1.Text=Server.HtmlEncode(feedback.Text)
这样可以把像这样的脚本给确保替换。

3.__VIEWSTATE
对于ASP.net来说，__VIEWSTATE是记录页面的数据信息的。这程数据是用Base64加密的。我们需要对它进行严格的验证。
解决方法：
修改Web.config：

和

4.验证
对于身份验证和目录安全严格验证。
如：用Web.config的Form验证。对目录、身份、操作权限等严格控制。

5.错误处理
禁止在程序错误时返回给用户程序内容等敏感信息。
如：在Web.config中把修改为

6.Web service
禁用没用的Web service。禁止自动生成WSDL
==============

以上只是对单个Web application的安全做简单的设置。如需配置一个完好的环境所涉及更多更广。本文作者:佚名来源:http://blog.csdn.net/jelink/archive/2006/10/13/133
CIO之家 www.ciozj.com 微信公众号:imciow

免责声明:本站转载此文章旨在分享信息，不代表对其内容的完全认同。文章来源已尽可能注明，若涉及版权问题，请及时与我们联系，我们将积极配合处理。同时，我们无法对文章内容的真实性、准确性及完整性进行完全保证，对于因文章内容而产生的任何后果，本账号不承担法律责任。转载仅出于传播目的，读者应自行对内容进行核实与判断。请谨慎参考文章信息，一切责任由读者自行承担。

延伸阅读