ログインしたユーザーがチェックボックスをチェックできないようにするため、チェックボックスを無効にしたフォームがあるとします。チェックボックスをハックしてポストバックを起こさないように、サニタイズセキュリティを追加する必要がありますか?基本的なASP.NETフォームのセキュリティプラクティスは何ですか?
このページでは? データベース層? データベースにはありますか?
私はそれが最も広い可能性が高いことを認識しています。
おかげで、 マーク
ASP.NETイベント検証メカニズムは、そのの世話をします。それは2.0以来そこにありました。
本当にセキュリティを確保する必要がある場合は、すべてのレイヤーでチェックを実装します。最低限、データベースとデータアクセスレイヤーから始めます。
可能であれば、ユーザーが完全に非表示にすることはできません。あなたが見ることができないものをハックすることはできません(私はページ上に隠されているわけではありません。ユーザーが見ることのできないもののコードを生成しません)。
つまり、コントロールを表示したままにしておく必要があると仮定すると、チェックを行うためにフロントエンドとバックエンドの両方にコードを追加します。フロントエンドの検証コードはハッキングの影響を受けやすいですが、システムを使用しているユーザーには迅速な検証のフィードバックを提供するのがうれしいですが、バックエンドはすべてが期待どおりであることを確認するための本当のフェールセーフな場所でなければなりません変更をコミットする前に最終チェックを行います。
残念なことに、それは時々あなたが努力を複製する必要があることを意味しますが、本当に重要なものについては、それは価値があります。
私の心を読んでください! :P – Cerebrus