Безопасность в моем приложении MVC

Question

В моем приложении есть контроллер обслуживания для редактирования базы данных. Я ограничил контроль с атрибутом авторизации, но я должен делать больше, чем это? Какие здесь риски? Например, я должен создать отдельную сборку для этого или нового приложения или удаленного приложения?

Answer 1

Одна вещь, которую я хотел бы сделать, это настроить свойства белого / черного списка в модели представлений, чтобы никто не вызывал ваше действие удаления контроллера с объектом, который имеет идентификатор.

Таким образом, код вашего контроллера может выглядеть так:

public ActionResult Create( [Bind(Exclude="ID")] MyModel model)
{
}

Таким образом, вы исключаете поле идентификатора в объекте MyModel.

Answer 2

Авторизация довольно безопасна ... Я бы не стал использовать секретные государственные секреты на ней ... но я не видел ни одного хорошего способа обойти ее, за исключением кражи cookie и атак MIIM, но они будут присутствовать во всех сайты, не относящиеся к ssl, независимо от используемой технологии.