摘要:
源码来自MVC4@Html.AntiForgeryToken() 源码分析 AntiForgery源自System.Web.Helpers.AntiForgery //查到_worker的创建private static readonly AntiForgeryWorker _worker = An 阅读全文
随笔档案-2017年01月
防范CSRF(三)
2017-01-17 21:50 by sunice, 334 阅读, 收藏, 编辑
摘要:
除了可以更改微软默认的cookie的名字外,还可以更改默认的加密方法。继承IAntiForgeryAdditionalDataProvider接口,实现里面的方法即可。 采用的加密方法有加盐和使用时间戳的方式。 以使用时间戳方式举例: Golbal.asax需要注册: 提醒: 这种方法+权限验证机制 阅读全文
防范CSRF(二)
2017-01-17 21:14 by sunice, 197 阅读, 收藏, 编辑
摘要:
在防范CSRF(一)中使用的是微软默认的设置。在信息安全中默认的往往是最危险的。因此可以考虑更改cookie中默认的名字。 更改默认操作在Global.asax中的Application_Start使用静态的AntiForgeryConfig类即可。 效果如下: 阅读全文
防范CSRF(一)
2017-01-14 23:14 by sunice, 227 阅读, 收藏, 编辑
摘要:
CSRF是跨网站伪造请求的缩写。大致的攻击流程是,黑客获得浏览器向服务器发送的请求,然后对请求进行修改,让服务器执行指定的操作。 防范方式可以使用微软提供的解决方案。 View放置Html.AntiForgeryToken();后端在需要接收验证的方法上面打上特性标签[ValidateAntiFor 阅读全文
防范XSS
2017-01-10 23:01 by sunice, 185 阅读, 收藏, 编辑
摘要:
.net framework4.5 提供了AntiXss类,来防范XSS攻击。 在开放指令的同时过滤危险字符串,使用AntiXss.GetSafeHtmlFragment(html)方法,具体可以参照http://www.cnblogs.com/coderzh/archive/2010/06/24/ 阅读全文
验证密码强度是否符合要求
2017-01-06 21:12 by sunice, 1059 阅读, 收藏, 编辑
摘要:
密码强度要求: 1、密码长度至少为8个字符 2、至少要有一个大写英文或者小写字母 3、最少包含一个数字 备注:该方法也可以拆成4个if判断,可以针对不同的情况,对注册客户进行提示。 阅读全文
