科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道在ASP.NET中创建安全的web站点

在ASP.NET中创建安全的web站点

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍在.NET环境下,如何轻松解决编写网站代码时的站点安全性问题,附带大量源代码,供大家参考!

作者:徜徉在ASP.NET 来源:Csdn博客   2008年9月22日

关键字: Web站点 ASP.NET Web安全

  • 评论
  • 分享微博
  • 分享邮件

  以前用ASP,PHP,JSP编写网站代码的时候,站点安全性总是一件头疼的事情,虽然我们编写了用户登录,注册,验证页面,但是效果总是不理想。有时候我们不得不用大量的session变量来存放相关信息,处处设防。而在.NET环境下,这个问题处理起来就非常容易了。关键是要充分理解web.config文件。首先,介绍一下web.config文件。

  <?xml version="1.0" encoding="utf-8" ?>

  <configuration>

  <system.web>

  <!-- 动态调试编译

设置 compilation debug="true" 以将调试符号(.pdb 信息)

插入到编译页中。因为这将创建执行起来

较慢的大文件,所以应该只在调试时将该值设置为 true,而所有其他时候都设置为

false。有关更多信息,请参考有关

调试 ASP.NET 文件的文档。

-->  设置 compilation debug="true" 以将调试符号(.pdb 信息)

  插入到编译页中。因为这将创建执行起来

  较慢的大文件,所以应该只在调试时将该值设置为 true,而所有其他时候都设置为

  false。有关更多信息,请参考有关

  调试 ASP.NET 文件的文档。

  -->

  <compilation defaultLanguage="vb" debug="true" />

  <!-- 自定义错误信息

设置 customErrors mode="On" 或 "RemoteOnly"

以启用自定义错误信息,或设置为 "Off" 以禁用自定义错误信息。

为每个要处理的错误添加 <  设置 customErrors mode="On" 或 "RemoteOnly"

  以启用自定义错误信息,或设置为 "Off" 以禁用自定义错误信息。

  为每个要处理的错误添加 <error> 标记。

  -->

  <customErrors mode="RemoteOnly" />

  <!-- 身份验证

此节设置应用程序的身份验证策略。可能的模式是 \“Windows\”、

\“Forms\”、\“Passport\”和 \“None\”

-->  此节设置应用程序的身份验证策略。可能的模式是 \“Windows\”、

  \“Forms\”、\“Passport\”和 \“None\”

  -->

  <authentication mode="Windows" />

  <!-- 授权

此节设置应用程序的授权策略。可以允许或拒绝用户或角色访问

应用程序资源。通配符:"*" 表示任何人,"?" 表示匿名

(未授权的)用户。

-->  此节设置应用程序的授权策略。可以允许或拒绝用户或角色访问

  应用程序资源。通配符:"*" 表示任何人,"?" 表示匿名

  (未授权的)用户。

  -->

  <authorization>

  <allow users="*" /><!-- 允许所有用户 -->

  <!-- <allow users="[逗号分隔的用户列表]"

  roles="[逗号分隔的角色列表]"/>

  <deny users="[逗号分隔的用户列表]"

roles="[逗号分隔的角色列表]"/>  roles="[逗号分隔的角色列表]"/>

  -->

  </authorization>

  <!-- 应用程序级别跟踪记录

应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。

设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true",则

跟踪信息将显示在每一页的底部。否则,可以通过从 Web 应用程序

根浏览 "trace.axd" 页来查看

应用程序跟踪日志。

-->  应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。

  设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true",则

  跟踪信息将显示在每一页的底部。否则,可以通过从 Web 应用程序

  根浏览 "trace.axd" 页来查看

  应用程序跟踪日志。

  -->

  <trace enabled="false" requestLimit="10" pageOutput="false"

traceMode="SortByTime" localOnly="true" />  traceMode="SortByTime" localOnly="true" />

  <!-- 会话状态设置

默认情况下,ASP.NET 使用 cookie 标识哪些请求属于特定的会话。

如果 cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。

若要禁用 cookie,请设置 sessionState cookieless="true"。

-->  默认情况下,ASP.NET 使用 cookie 标识哪些请求属于特定的会话。

  如果 cookie 不可用,则可以通过将会话标识符添加到 URL 来跟踪会话。

  若要禁用 cookie,请设置 sessionState cookieless="true"。

  -->

  <sessionState

mode="InProc"

stateConnectionString="tcpip=127.0.0.1:42424"

sqlConnectionString="data source=127.0.0.1;user id=sa;password="

cookieless="false"

timeout="20"

/>  mode="InProc"

  stateConnectionString="tcpip=127.0.0.1:42424"

  sqlConnectionString="data source=127.0.0.1;user id=sa;password="

  cookieless="false"

  timeout="20"

  />

  <!-- 全球化

此节设置应用程序的全球化设置。

-->  此节设置应用程序的全球化设置。

  -->

  <globalization requestEncoding="utf-8" responseEncoding="utf-8" />

  </system.web>

  </configuration>

  好了,相信看过上面的介绍以后,对web.config文件一定非常了解了吧。下面我们就切入主题。为了防止用户没有经过验证就访问站点,我们的处理方法是当用户没有通过验证的时候点击任何页面将会直接跳到Login.aspx页面,具体代码如下:

  <authentication mode="Forms">

  <forms name="yourAuthCookie" loginUrl="login.aspx"

protection="All" path="/" />  protection="All" path="/" />

  </authentication>

  <authorization>

  <deny users="?" />

  </authorization>

  但是这样会产生一个问题,那就是如果我的站点有一些信息是可以让任意用户随意访问的,比如站点简介,使用说明等。如果按照上面的处理方法岂不让用户觉得很麻烦,呵呵,不急,在ASP.NET中自然有相应的解决办法。下面的代码可以实现匿名用户访问Test.aspx页面:

  <location path="test.aspx">

  <system.web>

  <authorization>

  <allow users="?" />

  </authorization>

  </system.web>

  </location>

  解决了上面两个问题,相信大家心里一定有底了吧!下面就开始实现login.aspx页面。利用C#和SQL Server2000,创建一个webform页面,加入相应的控件。具体代码如下:

  <%@ Page language="c#" Codebehind="login.aspx.cs"

AutoEventWireup="false" Inherits="secure.login" %>  AutoEventWireup="false" Inherits="secure.login" %>

  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" >

  <HTML>

  <HEAD>

  <title>Secure Site</title>

  <meta content="Microsoft Visual Studio 7.0" name="GENERATOR">

  <meta content="C#" name="CODE_LANGUAGE">

  <meta content="javascript" name="vs_defaultClientScript">

  <meta content="http://schemas.microsoft.com/intellisense/ie5"

name="vs_targetSchema">  name="vs_targetSchema">

  </HEAD>

  <body MS_POSITIONING="GridLayout">

  <form id="login" method="post" runat="server">

  >

  <tr>

  <td vAlign="top" align="left">

  <asp:label id="Message" Runat="server" ForeColor="#ff0000">

  </asp:label>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="left">

  <b>E-mail:</b>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="left">

  <asp:textbox id="username" Runat="server" Width="120">

  </asp:textbox>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="left">

  <b>Password:</b>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="left">

  <asp:textbox id="password" Runat="server"

Width="120" TextMode="Password">  Width="120" TextMode="Password">

  </asp:textbox>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="left">

  <asp:checkbox id="saveLogin" Runat="server"

Text="<  Text="<b>Save my login</b>">

  </asp:checkbox>

  </td>

  </tr>

  <tr>

  <td vAlign="top" align="right">

  <asp:imagebutton id="btnLogin" Runat="server"

ImageUrl="/images/w2k/login/btnLogin.gif">  ImageUrl="/images/w2k/login/btnLogin.gif">

  </asp:imagebutton>

  </td>

  </tr>

  </table>

  </form>

  </body>

  </HTML>

  界面做好之后,就开始编写提交按钮事件,首先需要注册该事件,代码如下:

  private void InitializeComponent()

  {

  this.btnLogin.Click += new System.Web.UI.ImageClickEventHandler(this.btnLogin_Click);

  .

  .

  .

  }

  事件注册好之后,自然就是编写事件处理函数了:

  private void btnLogin_Click(object sender, System.Web.UI.ImageClickEventArgs e)

  {

  CCommonDB sql = new CCommonDB();

  string redirect = "";

  if((redirect = sql.AuthenticateUser(this.Session, this.Response,

  username.Text, password.Text, saveLogin.Checked)) != string.Empty)

  {

  // Redirect the user

  Response.Redirect(redirect);

  }

  else

  {

  Message.Text = "Login Failed!";

  }

  }

  读者看完上面的代码之后一定想问CCommonDB是哪里来的东东,这是我编写的一个类,用来处理用户登录信息的,如果成功则把相关信息写入session、Cookie和SQL数据库,同时跳到default.aspx页面。具体如下:

  CCommonDB.cs

  namespace secure.Components

  {

  public class CCommonDB : CSql

  {

  public CCommonDB() : base() { }

  public string AuthenticateUser(

  System.Web.SessionState.HttpSessionState objSession, // Session Variable

  System.Web.HttpResponse objResponse, // Response Variable

  string email, // Login

  string password, // Password

  bool bPersist // Persist login

  )

  {

  int nLoginID = 0;

  int nLoginType = 0;

  // Log the user in

  Login(email, password, ref nLoginID, ref nLoginType);

  if(nLoginID != 0) // Success

  {

  // Log the user in

  System.Web.Security.FormsAuthentication.SetAuthCookie(nLoginID.ToString(),

  bPersist);

  // Set the session varaibles

  objSession["loginID"] = nLoginID.ToString();

  objSession["loginType"] = nLoginType.ToString();

  // Set cookie information incase they made it persistant

  System.Web.HttpCookie wrapperCookie = new System.Web.HttpCookie("wrapper");

  wrapperCookie.Value = objSession["wrapper"].ToString();

  wrapperCookie.Expires = DateTime.Now.AddDays(30);

  System.Web.HttpCookie lgnTypeCookie = new System.Web.HttpCookie("loginType");

  lgnTypeCookie.Value = objSession["loginType"].ToString();

  lgnTypeCookie.Expires = DateTime.Now.AddDays(30);

  // Add the cookie to the response

  objResponse.Cookies.Add(wrapperCookie);

  objResponse.Cookies.Add(lgnTypeCookie);

  return "/candidate/default.aspx";

  }

  case 1: // Admin Login

  {

  return "/admin/default.aspx";

  }

  case 2: // Reporting Login

  {

  return "/reports/default.aspx";

  }

  default:

  {

  return string.Empty;

  }

  }

  }

  else

  {

  return string.Empty;

  }

  }

  /// <summary>

  /// Verifies the login and password that were given

  /// </summary>

  /// <param name="email">the login</param>

  /// <param name="password">the password</param>

  /// <param name="nLoginID">returns the login id</param>

  /// <param name="nLoginType">returns the login type</param>

  public void Login(string email, string password, ref int nLoginID,

  ref int nLoginType)

  {

  ResetSql();

  DataSet ds = new DataSet();

  // Set our parameters

  SqlParameter paramLogin = new SqlParameter("@username", SqlDbType.VarChar, 100);

  paramLogin.Value = email;

  SqlParameter paramPassword = new SqlParameter("@password", SqlDbType.VarChar, 20);

  paramPassword.Value = password;

  Command.CommandType = CommandType.StoredProcedure;

  Command.CommandText = "glbl_Login";

  Command.Parameters.Add(paramLogin);

  Command.Parameters.Add(paramPassword);

  Adapter.TableMappings.Add("Table", "Login");

  Adapter.SelectCommand = Command;

  Adapter.Fill(ds);

  if(ds.Tables.Count != 0)

  {

  DataRow row = ds.Tables[0].Rows[0];

  // Get the login id and the login type

  nLoginID = Convert.ToInt32(row["Login_ID"].ToString());

  nLoginType = Convert.ToInt32(row["Login_Type"].ToString());

  }

  else

  {

  nLoginID = 0;

  nLoginType = 0;

  }

  }

  }

  abstract public class CSql

  {

  private SqlConnection sqlConnection; // Connection string

  private SqlCommand sqlCommand; // Command

  private SqlDataAdapter sqlDataAdapter; // Data Adapter

  private DataSet sqlDataSet; // Data Set

  public CSql()

  {

  sqlConnection = new SqlConnection(ConfigurationSettings.AppSettings

  ["ConnectionString"]);

  sqlCommand = new SqlCommand();

  sqlDataAdapter = new SqlDataAdapter();

  sqlDataSet = new DataSet();

  sqlCommand.Connection = sqlConnection;

  }

  /// <summary>

  /// Access to our sql command

  /// </summary>

  protected SqlCommand Command

  {

  get { return sqlCommand; }

  }

  /// <summary>

  /// Access to our data adapter

  /// </summary>

  protected SqlDataAdapter Adapter

  {

  get { return sqlDataAdapter; }

  }

  /// <summary>

  /// Makes sure that everything is clear and ready for a new query

  /// </summary>

  protected void ResetSql()

  {

  if(sqlCommand != null)

  {

  sqlCommand = new SqlCommand();

  sqlCommand.Connection = sqlConnection;

  }

  if(sqlDataAdapter != null)

  sqlDataAdapter = new SqlDataAdapter();

  if(sqlDataSet != null)

  sqlDataSet = new DataSet();

  }

  /// <summary>

  /// Runs our command and returns the dataset

  /// </summary>

  /// <returns>the data set</returns>

  protected DataSet RunQuery()

  {

  sqlDataAdapter.SelectCommand = Command;

  sqlConnection.Open();

  sqlConnection.Close();

  sqlDataAdapter.Fill(sqlDataSet);

  return sqlDataSet;

  }

  }

  }

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章