Новое в ASP.NET MVC - придется ли мне заново изучать безопасность?

Question

Я планирую работу над новым проектом, и теперь я испытываю желание использовать ASP.NET MVC. Мой проект планирует использовать JQuery и AJAX (хотя не-JS клиенты также будут поддерживаться). Исходя из стандартного фона ASP.NET, я все еще пытаюсь разобраться с парадигмой MVC (с большой помощью Скотт Гатри ). Тем не менее, моя главная проблема с использованием MVC - это аспекты безопасности. Я сделал немного безопасности с ASP.NET, и я знаю, как обрабатывать различные векторы атак. Нужно ли заново изучать безопасность с помощью ASP.NET MVC? Существуют ли новые угрозы или даже новые способы обработки старых угроз, о которых мне придется прочитать? Я заказал пару книг ASP.NET MVC (в которых есть главы, посвященные безопасности), но я хотел бы знать, кто-нибудь еще знает об этом.

Спасибо

Answer 1

Зависит от того, что вы подразумеваете под безопасностью.

Авторизация в основном такая же, если не проще. Аутентификация с помощью форм поддерживается и поощряется, и вам нужно только прикрепить атрибут [Authorize] на контроллерах или действиях контроллеров. Не слишком много, чтобы учиться там.

ViewState исчез, так что вам не нужно беспокоиться о проверке ViewState или о каком-либо из этих ключей.

Если вы имеете в виду XSS, я бы сказал, что это примерно то же самое; вам нужно экранировать данные на выходе, и это очень легко сделать:

<%= Html.Encode(Model.SomeString) %>

Единственное, о чем я могу подумать, что вы можете найти немного другое, - это обрабатывать CSRF / XSRF. К счастью, большая часть этого уже встроена в фреймворк .

Так что в целом я бы сказал, что нет, кривая обучения безопасности в ASP.NET MVC не должна быть настолько крутой, как кривая обучения самой архитектуры.