ASP.NET的安全性探討

張捷

摘 要：隨著互聯網技術的不斷發展，ASP.NET成了當前社會各種網站程序開發過程中解決問題的優質工具。文章通過概述ASP.NET，研究加強ASP.NET安全性的前提，具體分析了ASP.NET在應用程序中為驗證用戶身份提供的4種方法，提出加強ASP.NET安全性的幾項措施，以期促進網絡技術的發展。

關鍵詞：ASP.NET；安全性；驗證

隨著ASP.NET被各大網站電子商務企業及應用程序開發的廣泛應用，ASP.NET的安全性成了當前社會的網絡發展的重點，也是需要不斷去完善解決的問題。本文結合ASP.NET概念及安全基礎，就其應用和安全性進行深入探討。

1 ASP.NET的概述

ASP.NET又被稱作為ASP+，但是ASP.NET卻又不只是簡單升級后的ASP，而是一種微軟公司提出的新型腳本語言。ASP.NET是以.NET Framework的Web開發平臺作為基礎，不僅只是汲取了舊版ASP的各項優點，并且還以Java和VB兩種編程軟件的語言開發存在的優勢作為參照，并且溶于許多新穎的特色進行舊版ASP運行過程中錯誤的修正。在應用程序用于網站開發方面存在的身份驗證、容量緩存等多方面的問題，ASP.NET都可以進行相應的解決處理。ASP.NET在代碼撰寫方面更是可以實現分離頁面邏輯與業務邏輯，提高了網頁撰寫的容易度，使得網頁代碼撰寫變得更加簡潔[1]。

2 加強ASP.NET安全的基礎

ASP.NET幫助應用程序安全運行需要借助Microsoft.NET框架及IZS協助完成，安全性的實現需要以下3點作為基礎[2]。

2.1 身份驗證

用戶從客戶端獲取相關標識憑據時需要通過身份的驗證，例如設置戶名密碼。身份驗證主要是為了進一步確立用戶在客戶端的身份。在身份驗證進行成功通過之后才能給到其訪問的權利及資源的獲取。

2.2 授權

授權主要是為了身份驗證成功之后，對身份進行定位并賦予訪問獲取的權利。一般通過文件授權以及URI.授權來給予其資源訪問獲取的權利。

2.3 模擬

在啟用模擬的情況下，ASP.NET應用程序必須借助IIS實現用戶的驗證，IIS在完成驗證之后把驗證成功標記傳回ASP.NET應用程序，如果在驗證過程出現驗證失敗的情況，那么也將會把驗證失敗標記傳回。由于在使用模擬客戶的ASP.NET應用程序需要借助NTFS目錄以及文件當中的設置去決定客戶的訪問請求，因此為了方便訪問權利的設置，應用程序所存文件格式應為NTFS。

3 ASP.NET在應用程序身份驗證

3.1 Windows身份驗證

Windows身份驗證的方式與正常情況下的IIS身份驗證方法一樣。在用戶請求訪問的時候，實行不允許用戶進行匿名訪問，實名制訪問并且進行身份驗證，用這種方式來保障站點不受影響。與此同時，還需要對文件進行變更，并且ASP.NET需要把用戶在通過IIS的身份驗證時輸入的證書，以此作為該應用程序的證書。

3.2 Forms身份驗證

Forms驗證也就是窗體驗證，這種驗證方式可以較好地支持與用戶在身份驗證及授權的過程。實行自行撰寫在一個用戶登錄頁面上的代碼用于用戶的身份驗證，把驗證完的用戶身份傳送到該客戶端的Cookie（儲存在用戶本地終端上的數據），實行之后該用戶二次訪問的時候服務端就會收到該用戶的身份Cookie。服務端就可以根據不同的目錄對用戶的訪問進行權限控制。由于Forms驗證具備較高的靈活性，使用頻率相對較高。

3.3 Passport身份驗證

在使用Passport身份驗證措施的時候我們可以將Microsoft Passport（微軟護照、微軟通行證）和應用程序互相聯系。在使用Passport進行身份驗證的時候還必須要下載Passport軟件開發當中的工具包SDK，與此同時還必須要配置微軟公司的應用程序才能使用Passport進行身份驗證的服務。該身份驗證模式由于相對復雜，較少被應用。

3.4 使用表單身份驗證

雖然IIS設定為非實名用戶依然可以進行訪問，但是依舊可以通過ASP. NET中的設置來進行客戶端的驗證以及授權，這種設置實現方式可以通過表單身份驗證的使用。這種身份驗證方式主要是通過重定向功能把收到的驗證失敗請求重新定向與某個特定的頁面，用戶在這個特定的頁面上交的憑據如果通過驗證并且被授權成功，那么應用程序便會發送出該用戶的身份驗證票的驗證表單，接著再重新定向與用戶起初的請求頁面。如果出現用戶的二次頁面請求，請求中就會直接包括了身份驗證表單，二次實現快速身份驗證及授權。具體如圖1所示。

4 加強ASP.NET安全性的措施

ASP.NET的代碼中存在的篡改參數，信息泄漏，結構化查詢語言（Structured Query Language，SQL）注入式攻擊，跨站腳本執行等都是其安全性能方面主要問題。提高ASP.NET安全性措施有以下幾點[3]。

4.1 域驗證器驗證參數的合法性

超級文本標記語言（HyperText Markup Language，HTML）表單中所提交的參數成了用戶輸入參數的源頭，因此，應該加強對這些參數合法性的驗證，一定程度上避免了服務器危機的出現。通過使用域驗證器致使ASP.NET開發者對域的值采取限制。比如，用戶在輸入域值的時候將會受到域驗證器的限制，域值必須配備相應的表達公式。特殊字符必然是為首當禁止，用戶輸入必須是集合某些合法字符的內容。

4.2 預防驗證操作參數漏洞

僅僅是靠運用域驗證器對輸入域值進行驗證達不到防止所有參數的攻擊，某些經過修改之后的參數依然可以對服務器進行攻擊。在對數值范圍進行檢查的時候，還需要指定正確的數據。意思就是在ASP.NET進行范圍檢查控件的時候需要對輸入域的數據要求指定相應的Type 屬性，而String就是Type的默認值。利用ype屬性指定為Integer的特性，以此保障輸入值都是真實整數。

4.3 SQL參數API代替程序員

由于部門用戶在輸入域的域值當中錄入一些特殊字符，使得SQL的查詢失去本來意義，對數據庫進行欺騙實現惡意的查詢。為了防止這種惡意的方式，不僅可以使用限制輸入域值的字符外，另外一種更為有效地防止方法就是使用SQL參數應用程序編程接口（Application Programming Interface，API），改變原來程序員進行構造查詢的方式，由編程環境底層API代替。

4.4 對外發數據進行編碼

Cross-site scripting（跨站腳本執行）就是把一些用戶惡意的輸入放到HTML頁面上。為了防止這種情況，在HTML頁面如果出現一些由外部用戶數據執行輸入驗證和HTML編碼，必須確保頁面只是把數據當成文本，避免頁面把輸入數據當成類似HTML代碼等具備其他特性的內容。

5 結語

由于ASP.NET和 ADO.NET身為微軟公司.NET構架中的一部分，現已成為開發各種網站程序的主流開發工具，加以有效利用可以很簡便地構造出新型的高效安全網站應用程序，具備強大的應用前景。因此，ASP.NET的安全性一直都是社會大眾關注的焦點，本文通過了解ASP.NET安全性的實現基礎，具體對ASP.NET的Windows身份驗證、Forms身份驗證、Passport身份驗證、表單身份驗證進行分析，提出相關的加強ASP.NET安全性的措施，希望在網絡安全方面起到良好的促進作用。

[參考文獻]

[1]周廣清，劉建平.ASP.NET頁面跳轉和參數傳遞[J].醫療衛生裝備，2015（3）：73-75，102.

[2]崔海波.基于ASP.NET架構Web應用的安全性研究及應用[J].福建電腦，2015（3）：87-89.

[3]鄒宏偉，陳曉濤.基于ASP.NET的網絡辦公系統設計[J].信息與電腦（理論版），2017（8）：120-122.