MVC 4 Web Api安全性
MVC 4 Web Api安全性
提问于 2013-10-15 07:07:21
我是非常新的web安全。我使用了表单认证技术。当用户登录时,将创建一个令牌并将其作为cookie存储在用户的web浏览器中。在每个请求中,令牌都是可变的,如果对用户进行了身份验证,并且授权用户被授予对服务的访问权。
但我认为这种方法在web安全方面没有任何作用。cookies可以很容易地在其他浏览器中复制和粘贴,任何人都可以获得该服务。
我正在考虑使用应用程序密钥和秘密,以及形式认证。我不建议使用像Oauth这样的第三方服务进行身份验证。我不确定应用密钥和秘密的实现,它到底是如何工作的。
请提供更好的方法来保护我的web wihtout,使用第三方服务,并防止cookie被劫持等等。
回答 1
Stack Overflow用户
回答已采纳
发布于 2013-10-15 08:33:44
表单身份验证已经足够好了。您还可以执行以下操作:
- 使用防伪(防冻)令牌。检查这或这
- 如果在敏感操作上检查对函数的调用是否来自同一个站点或not.You可以实现您自己的操作筛选器,这也将是很棒的。(检查推荐站点是您的站点,还是预期的站点)
编辑:
谢谢各位的评论。我想你是对的。好的,ASP中的身份验证cookie是作为httpOnly cookie创建的,这意味着即使站点存在一些XSS漏洞,它仍然是安全的,不能被窃取。如果站点用于敏感操作(如银行),我还建议在任何地方使用https,以确保cookie是完全安全的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/19375173
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号