我想知道是否可以绕过我应用于网站目录的授权规则?我的意思是有人可以(通过使用任何技巧或黑客)在没有特权的情况下访问资源?
问问题
585 次
2 回答
1
永远不要依赖 web.config 来保护 ASP.Net MVC 应用程序。我不确定这是否同样适用于 ASP.Net Web 表单。
您不能使用路由或 web.config 文件来保护您的 MVC 应用程序。保护 MVC 应用程序的唯一受支持的方法是将 Authorize 属性应用于每个控制器,并在登录和注册操作上使用新的 AllowAnonymous 属性。根据当前区域做出安全决策是一件非常糟糕的事情,并且会使您的应用程序容易受到漏洞攻击。
于 2012-08-23T22:51:40.527 回答
1
如果可能的话,我们(ASP.NET 团队)将被迫修补它。我们宣传开发人员可以使用基于 URL 的授权来可靠地保护 WebForms 页面。
您不得使用基于 URL 的授权来保护 MVC 操作或通过路由管道的其他内容。这是因为很容易陷入可以通过多个 URL 访问特定 MVC 控制器或操作的情况,并且通常很难找出每一个排列并通过 config.xml 将其关闭。有关更多信息,请参阅 Eric 发布的链接。
于 2012-08-24T06:05:07.910 回答