【发布时间】:2011-04-06 10:30:12
【问题描述】:
从安全的角度来看,有哪些主要点会有助于使用 .master 文件与 .aspx 文件的结果?
【问题讨论】:
标签: asp.net visual-studio security .net-3.5 master-pages
【发布时间】:2011-04-06 10:30:12
【问题描述】:
主页面和内容页面在您的浏览器中构成 1 个呈现页面。母版页用于在整个网站或部分网站中创建共同的外观和感觉。如果需要,您甚至可以嵌套母版页。
作为一个整体,ASP.NET 已经默认内置了相当多的安全钩子。 RequestValidation 防止恶意输入,参数化查询可以防止 SQL 注入,Membership 用于身份验证,Roles 用于授权,UrlAuthorization 以防止人们猜测 url 并可能能够看到敏感数据,...
【讨论】:
从安全的角度来看,.master 文件和 .aspx 文件并没有真正的区别。当涉及到页面生命周期时,它们确实具有独特的执行路径,但它们以相同的方式执行,并且容易出现相同的安全漏洞和保护。
也就是说,.master 文件允许的代码减少(以及迫使您考虑泛化)将大大有助于您开发一个可靠的(与安全相关的)网站。
【讨论】:
-
谢谢凯文。我问是因为在当前项目中,应用程序开发人员选择使用 .master 作为内容页面而不是 .aspx,我不确定为什么。我将研究独特的执行路径以获得更多方向。
这是一个棘手的家庭作业问题——两者都不应该与安全有关。
【讨论】:
从技术上讲,从安全角度来看并没有太大区别。您可以从母版页中实现您的安全逻辑,这将确保它包含在使用该母版页的每个页面中。您可能会争辩说这使事情更安全,因为人为错误的机会更少:)。
【讨论】: