C# 安全编码实践(.Net)将其留给框架是明智的想法吗?
回到我的开发者时代(大约2011年),我使用AntiXSS库之类的东西来帮助构建更安全的应用程序。现在,我正在使用的一些开发人员告诉我,.Net框架现在“做了很多”开箱即用——这意味着(正如我看到的那样)它可能是懒惰的借口 撇开懒惰不谈-现在的.Net框架“足够”了吗?还是应该用其他安全库来扩展它?如果是的话,是哪些 更新: 我不担心任何具体的威胁;我想知道依赖.Net框架是否被视为良好(或“足够好”)实践 FYR:安全编码实践是“以防止意外引入安全漏洞的方式开发计算机软件的实践”:C# 安全编码实践(.Net)将其留给框架是明智的想法吗?,c#,.net,asp.net-mvc,sql-server-2008,C#,.net,Asp.net Mvc,Sql Server 2008,回到我的开发者时代(大约2011年),我使用AntiXSS库之类的东西来帮助构建更安全的应用程序。现在,我正在使用的一些开发人员告诉我,.Net框架现在“做了很多”开箱即用——这意味着(正如我看到的那样)它可能是懒惰的借口 撇开懒惰不谈-现在的.Net框架“足够”了吗?还是应该用其他安全库来扩展它?如果是的话,是哪些 更新: 我不担心任何具体的威胁;我想知道依赖.Net框架是否被视为良好(或“足够好”)实践 FYR:安全编码实践是“以防止意外引入安全漏洞的方式开发计算机软件的实践”: 这
- HTML编码是“开箱即用”的,但是如果不小心,您可以很容易地引入双重编码值或让用户输入滑过编码
- ASP.Net不会验证用户是否未篡改ID/特权值
- Cookie可以设置为仅HTTP和需要SSL,但您必须为此编写代码
- 据我所知,ASP.Net并没有提供一种在允许良性标记的情况下净化HTML的方法。这可以很好地使用第三方库
- ASP.Net具有良好的反CRSF IME实现,但您必须在代码中积极使用它
- 在大多数情况下,框架并不能阻止你绕过它,做一些不安全的事情