Stella 知识库--保护你的web程序

(觉得这篇写得还不错,于是就挂到主页来,希望诸高手指教)


-- 系列文章与Stella Forum v2.0搭配使用效果更好 --

就我现在掌握的知识并结合sf2来分析一下如何保护web应用程序
1.限制用户的活动
2.服务器端的验证
3.代码安全

1.限制用户的活动
这是最基本的做法,“永远不要相信用户的输入”是必须要记住的准则。用到web程序,就是要做下面的事情

a.限制用户的输入
在表示层的文本框中加入限制,禁止用户输入危险的内容。一般的做法就是使用javascript配合正则表达式来完成。在sf2中我使用了一个博客园上的 同志发表的一个通用的js方法来验证:checkform.js,这个东西大大简化了验证所需要做的事情,下面是地址:
http://www.cnblogs.com/ttyp/archive/2005/04/06/132727.html

b.限制用户访问
某些页面是禁止一般用户访问的,比如管理页面。这个时候就需要判断登陆用户是否有权限察看该页面。一般的做法就是使用基于角色的forms验证。这个也是 很简单的几步就可以完成对程序的保护。关于这个的详细信息大家可以看我的主页上该方面的笔记,应该是比较全了。
在这里我只说一点:
<allow roles="adminer">
上面那一句是允许角色是adminer的用户访问。经常有人问我:系统怎么知道登陆的用户是什么角色?难道是神奇的……好了,到这里就不要想了,目前来 说.net还没有那么智能,它所能做的就是按照人的设定执行。实际情况是用户在登陆的时候,我们就执行一个操作,把存在数据库中的用户的角色取出来,然后 添加到用户的cookie中去,这样每次请求的时候都会到cookie中去检查角色的值,下面的语句就是执行了“把角色添加到cookie”的操作:
string role=((System.Web.Security.FormsIdentity)this.Context.User.Identity).Ticket.UserData;
System.Security.Principal.GenericPrincipal gp=new System.Security.Principal.GenericPrincipal(this.Context.User.Identity,new string[]{role});
this.Context.User=gp;

GenericPrincipal是什么可以去看我的笔记了 :)

c.谨慎的展示数据
有些脚本攻击真是防不胜防,这个时候在显示数据的时候最好就是原样显示,比如用htmlencode。

2.服务器端的验证
客户端只是一个浏览器,功能有限,所以更重要的验证工作需要放到服务器端,在这里需要做的是

a.检查用户的输入
不要详细客户端的javascript能给你做什么,如果有人对你的程序有意思,它(!)肯定会把你的网页下载下来,然后把你的javascript等东西清除了,然后把攻击代码通过你的表单传上去,这个时候服务器端的验证就很重要了。
一般来说要做的和客户端的验证应该差不多,但是有些客户端作不了的,就需要在服务器端作。下面的是发表新帖子的时候要做的检查:
public static string Check(Model.Art art)
{
if( art.Title.Length==0 )
return "输入的标题不能为空!";

art.Title=SecurityHelper.ClearScript(art.Title);

if( art.Title.Length >50 )
return "输入的标题不符合要求!";
if( art.Body.Length==0 )
return "输入的内容不能为空!";
//先检测时间,再检测标题
if(! checkTime())
return "本论坛限制发帖时间间隔为"+Config.StellaConfig.NewTopicTimeSpan.ToString()+"秒,请稍候再试!";
if(! checkCaption(art.Title))
return "请不要重复提交相同的帖子";

art.Body=SecurityHelper.ClearScript(art.Body);

return Config.RegExpress.Well;
}

像检测时间和标题,清除脚本这样的任务,自然是交给服务器端来执行。

b.预防sql注入攻击
经过前面那么多道关卡,还是会有危险的东西传过来,sql注入攻击就是其中的一个问题。到这里我们能做的,就是尽量使用参数来执行sql操作。这可以有效地防止此类攻击。

3.代码安全
这是.net的一个特性。通过PrincipalPermission特性来限制代码的调用。
最基本的,只有登陆用户才可以访问密码修改页面。
[PrincipalPermission(SecurityAction.Demand,Authenticated=true)]
public class PwdEdit : BaseSkin

然后是只有管理员才可以访问的管理页面。
[PrincipalPermission(SecurityAction.Demand,Role="adminer")]
public class Placard : System.Web.UI.Page

给帖子置顶的操作只有版主可以执行。只有角色是版主的会员可以调用该方法。
[PrincipalPermission(SecurityAction.Demand,Role="manager")]
private void topics_ItemCommand(object source, RepeaterCommandEventArgs e)
{
Business.TopicManager tm=new TopicManager();
if(e.CommandName=="up")
{
tm.Up(Convert.ToInt32(e.CommandArgument));
}

}

关于这个得更详细内容,也可以看我的主页上的文章“60.扩展Forms验证”。

你可能感兴趣的:(Web)