Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/wix/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
C# 安全编码实践(.Net)将其留给框架是明智的想法吗?_C#_.net_Asp.net Mvc_Sql Server 2008 - Fatal编程技术网
Fatal编程技术网
  • csharp/
  • C# 安全编码实践(.Net)将其留给框架是明智的想法吗?

C# 安全编码实践(.Net)将其留给框架是明智的想法吗?

c# .net asp.net-mvc sql-server-2008

C# 安全编码实践(.Net)将其留给框架是明智的想法吗?,c#,.net,asp.net-mvc,sql-server-2008,C#,.net,Asp.net Mvc,Sql Server 2008,回到我的开发者时代(大约2011年),我使用AntiXSS库之类的东西来帮助构建更安全的应用程序。现在,我正在使用的一些开发人员告诉我,.Net框架现在“做了很多”开箱即用——这意味着(正如我看到的那样)它可能是懒惰的借口 撇开懒惰不谈-现在的.Net框架“足够”了吗?还是应该用其他安全库来扩展它?如果是的话,是哪些 更新: 我不担心任何具体的威胁;我想知道依赖.Net框架是否被视为良好(或“足够好”)实践 FYR:安全编码实践是“以防止意外引入安全漏洞的方式开发计算机软件的实践”: 这

回到我的开发者时代(大约2011年),我使用AntiXSS库之类的东西来帮助构建更安全的应用程序。现在,我正在使用的一些开发人员告诉我,.Net框架现在“做了很多”开箱即用——这意味着(正如我看到的那样)它可能是懒惰的借口

撇开懒惰不谈-现在的.Net框架“足够”了吗?还是应该用其他安全库来扩展它?如果是的话,是哪些

更新:

我不担心任何具体的威胁;我想知道依赖.Net框架是否被视为良好(或“足够好”)实践

FYR:安全编码实践是“以防止意外引入安全漏洞的方式开发计算机软件的实践”:

这方面的一个例子是解析/验证来自用户的输入

我想知道依赖.Net框架是否被认为是好的(或者 “足够好”)练习

如果您正确地使用了该框架,那么是的,它的各种安全功能的实现可以被认为是安全的

但是,您必须很好地了解您试图缓解的威胁,才能知道您正在以预期的方式使用该框架。通常需要启用/配置安全功能以提供所需的安全性

示例:

  • HTML编码是“开箱即用”的,但是如果不小心,您可以很容易地引入双重编码值或让用户输入滑过编码
  • ASP.Net不会验证用户是否未篡改ID/特权值
  • Cookie可以设置为仅HTTP和需要SSL,但您必须为此编写代码
  • 据我所知,ASP.Net并没有提供一种在允许良性标记的情况下净化HTML的方法。这可以很好地使用第三方库
  • ASP.Net具有良好的反CRSF IME实现,但您必须在代码中积极使用它
  • 在大多数情况下,框架并不能阻止你绕过它,做一些不安全的事情
您指的是哪种安全编码实践?具体来说,您担心哪种安全问题?