Web 部件是 ASP.NET 的一个新特征,它提供给终端用户对 Web 页面进行更改或个性化的能力。拥有已个性化的 Web 页面是非常强大的 Web 应用程序,但是它同样有需要被开发者所了解的安全隐患。
因为 Web 部件是 ASP.NET 的一个特征,并且 Web 部件的控件扩展了 ASP.NET 服务器控件,所以 Web 部件页面会受到与 ASP.NET 页面相同的安全影响。拥有使用 Web 部件控件的页面的 Web 应用程序才是真正特殊的 ASP.NET 应用程序类型,并且使用 Web 部件的应用程序能够在任何被信任级别中运行(与普通的 ASP.NET 应用程序一样)。关于 ASP.NET 网站安全的详细内容,请参考“ASP.NET 网站安全”。但是,Web 部件还有唯一的一个安全问题是常规 ASP.NET 页面所没有的。这些问题在下列部分被讨论。
Web 部件特征最大的安全隐患就是导入特征。这个特征允许用户导入一个为服务器控件(控件的汇编集文件必须对于 Web 服务器是可用的)包含状态和属性数据的 XML 描述文件。为控件导入数据是用户共享数据并简化控件配置的一个方法。但是内在的隐患就是描述文件中有可能包含恶意数据。例如,如果有人把恶意脚本代码保存到字符串属性值中,然后当用户导入描述文件并在 Web 页面中引用服务器控件的时候,恶意脚本就会被潜在地得到执行。要最小化这个隐患(导入包含恶意数据的描述文件),拥有字符串属性的服务器控件应该始终对属性的数据进行编码。另一个隐患则是使用描述文件(参考“Web 部件控件的描述文件”)来导入数据。某个恶意用户可以通过提交请求的方式把多个汇编集同时装载到 AppDomain
中,从而导致额外的内存消耗。如果你需要避免这个隐患(与导入操作相关联),你可以通过不使用实现了该操作的相关服务器控件的方式来对这个特征进行禁用。或者你可以对能够访问这些控件的用户进行限制。例如,你可以使用角色管理,如果某个用户属于管理员角色,那么你可以通过编程为该用户在页面中添加 ImportCatalogPart
。更多关于这些控件的信息,请参考 ImportCatalogPart
类的参考主题。
导出特征是另一个比较重要的安全隐患,因为它能够暴露机密数据。导出特征允许用户把特定控件的属性和状态数据导出到一个 XML 描述文件中。(这个文件就是导入特征所使用的文件。)主要的隐患就是用户可以把机密数据导出到应用程序之外以及描述文件中(描述文件是能够被拥有适当权限的任何用户所读取的简单文本文件)。导出特征在 ASP.NET 中默认时是被禁用的,所以如果你不需要这个特征,你可以安全地忽略它。这很明显是最大的安全选项。
如果你需要启用导出特征,你应该对这个选项所能够暴露出的属性范围进行了解。当你创建一个 WebPart
或者将在 WebPartZone
区域中使用的服务器控件的时候,你可以为每一个能够被导出的公共属性添加 Personalizable
元数据参数。该参数用于建立可导出的属性,并且它同样也会引发消息框给用户,并对数据将要被导出的操作而进行警告。使用 Personalizable
参数建立的一个典型参数就是 IsSensitive
参数。这个布尔值参数有助于建立一个需要在某些情况下能够被导出的属性,关于细节和具体实例,请参考“ExportMode
属性”的参考主题。
Web 部件的个性化特征用来允许用户按照他们的喜好而对 Web 页面进行更改,并把他们的设定值进行长期保存,所以已个性化的页面会保留跨浏览器会话之间的设定。多数 Web 部件特征都需要个性化;因此,它在 ASP.NET 网站中默认时是被启用的。即使个性化是如此强大的特征,但是它同样承运着一定的危险度。用户能够更改 Web 页面的实际布局、外观、甚至是页面中的内容和控件。这些个性化的数据被保存在一个数据库中并且用于页面的呈现,所以用户有许多的机会与网站内容进行恶意的交互。访问已共享个性化范围的用户甚至能够对应用于所有用户的页面进行更改。
如果你有一个使用 Web 部件特征但是并不需要进行个性化的特定页面(例如,门户网站中的某个公共页面),对于禁用个性化来说这是一个很好的例子,因为这样做提高了性能并为你的网站减少了暴露安全隐患的机会。
个性化需要对用户进行验证。你不能够为匿名用户启用个性化。这表示如果要拥有完整的个性化和 Web 部件的功能,你的网站就必须使用基于 Windows 或者基于窗体的验证机制。关于验证选项的信息,请参考“Web 应用程序的基本安全练习(Visual Studio)”。要使用新的成员资格特征(使用窗体验证)来设立网站,请参考“通过使用成员资格来管理用户”。
Web 部件的个性化改变始终应用到给定范围或者个性化范围中的用户。在用户范围中所作的改变仅对作出改变的当前用户可见,然而在已共享范围中所作的改变则对所有用户都是可见的。现有已共享个性化范围中的管理员角色用户对页面所作的改变都会应用到网站中的所有用户。默认时,所有用户不允许对已共享范围进行访问。只有被选择的用户才拥有这个权限,这个限制是在网站的配置文件中被定义的。关于详细内容,请参考“ASP.NET 实践:为 Web 部件页面启用已共享的个性化”。
因为 Web 部件为用户提供了强大的能力(如在页面中添加新的服务器控件的能力),开发者应该要在 Web 部件应用程序中使用服务器控件的时候要特别的留意。因为服务器控件,特别是来自于第三方开发团体或者卖主的控件,应该小心地对其进行检查和测试,以确保它们能够被信任并用于 Web 部件应用程序中。例如,被恶意设计并且内存使用效率低下的一个特定服务器控件。如果你只要把这样一个控件添加到 Web 部件的目录中,用户也就能够把它添加到 Web 页面中。并且因为目录中的控件能够被无数次地添加到页面中(出现相同控件的多个实例),用户也就能够多次地在页面中添加这样一个劣质控件,那么在页面尝试处理劣质控件的多个实例的时候就会造成应用程序出现拒绝服务攻击的现象。关于 Web 部件目录的更多信息,请参考“CatalogPart
类”的参考主题。
Web 部件有一个允许你在 Web 部件页面中为创建用户界面(UI)的服务器控件而对授权级别进行设置并检查的特征。如果有一个基于标准(你所定义的标准)的已授权控件,它将出现在页面中,并且如果它在某些简化的级别中得到授权,因此你可以对它的外观进行改变、或者完全隐藏它。例如,假设你有一个用户并已经被指派成为管理员。同时有一个你需要仅对该管理员可见的服务器控件。通过使用 Web 部件的授权和过滤特征,你可以确定该控件只对被指派的管理员可见,而对其他用户则不可见。使用授权和过滤主要的机制就是 WebPart
类的 AuthorizationFilter
属性,还有 WebPartManager
类的 IsAuthorized
属性和 OnAuthorizeWebPart
方法。
Web 部件的唯一的一个特征就是终端用户可以把页面转换进编辑模式,并且他们可以编辑服务器控件,来改变它们的布局、外观、行为、以及可个性化的属性值。但是这样做存在一些安全隐患,因为通过使用字符串属性的编辑能力,某个恶意的用户可以插入错误的数据、或者尝试脚本注入式攻击。作为一个安全练习,如果你创建了自定义的 EditorPart
控件来编辑服务器控件,并且该控件中还拥有使用给定服务器控件或者使用字符转换器的一个可个性化字符串属性,那么你的自定义 EditorPart
控件应该在指派到属性之前对字符串的数据进行编码。关于具体实例,请参考“HtmlEncode
方法”的参考文档。