问MVC 5安全措施

EN

这将覆盖您的XSRF和存储XSS。您还应检查：

• javascript中的DOM (例如，当使用查询字符串中的数据修改DOM时)。
• JSON劫持
• 代码注入(例如，如果使用SQL，则使用SQL注入)
• 为登录执行HTTPS (登录表单和登录帖子)
• ..。等等..。

最常见的漏洞不是技术缺陷，例如，您应该：

• 减少客户端信任的数据。例如，如果您有购物车，那么将价格作为购买表单中的隐藏字段似乎是个好主意，因此服务器不需要去DB获取该产品的价格，但是用户可以篡改表单，以0美元甚至-$100的价格购买。
• 检查用户不能愚弄多步表单，例如允许他在不浏览支付页面的情况下订购产品。
• 检查如果应用程序按名称返回文件，则不能执行类似http://example.com/Home/GetFile?filename=..\..\Web.config的操作。
• 检查除身份验证外，您是否正在强制执行授权。例如，可以对用户123进行身份验证，但不授权检查用户456配置文件。
• ..。等等..。

最好的方法是检查OSWASP页面：项目