作为Web和MVC的相对新手,我正在寻找我应该实现的安全最佳实践的一个很好的总结.
该网站将公开面对“中等敏感数据”(意味着我们不能被起诉,但如果数据出来可能不会成为很多朋友!)并将采取以下安全措施:
a:表单/成员身份验证和授权
b:参数化查询以防止sql注入.
c:自动超时,x min不活动
c:用于客户端到服务器加密的SSL
你还推荐什么?
*保护IIS和网络不属于我的域名,所以我对我需要对软件做的事情更感兴趣.
解决方法
>如果您使用cookie来识别用户,请务必使用任意令牌(例如
GUID)存储在客户端上进行识别.我见过太多网站将我的电子邮件地址或用户名存储在我的cookie中……只需将其更改为另一个!
>编写软件,使其可以在 medium trust下运行.
>编写软件,使其可以在 medium trust下运行.
