開發(fā)安全可靠的ASP.NET 3.5應(yīng)用程序

前言

隨著Windows Server操作系統(tǒng)在企業(yè)環(huán)境中的廣泛使用，目前，隨Windows Vista和Windows Server 2008一同發(fā)行的IIS 7.0已經(jīng)成為一種廣泛應(yīng)用的Web服務(wù)器，IIS 7.0能夠與ASP.NET很好地集成，統(tǒng)一了請求的處理方式。IIS 7.0使ASP.NET 2.0和ASP.NET 3.5成為一種能夠支持Web服務(wù)器擴展的可擴展框架。因此，如何使用ASP.NET提供的核心安全技術(shù)來保證ASP.NET應(yīng)用程序的安全已經(jīng)得到了廣泛的重視。本書深入詳細(xì)地介紹了開發(fā)安全ASP.NET應(yīng)用程序的理論和最佳實踐，還介紹了ASP.NET各項功能的內(nèi)部工作原理，并強調(diào)了如何通過編程方式開發(fā)可靠安全的ASP.NET應(yīng)用程序，而且給出了大量的代碼示例，同時還強調(diào)了如何合理地選擇方案，確保ASP.NET.應(yīng)用程序能夠安全地工作。本書面向ASP.NET開發(fā)人員，針對ASP.NET開發(fā)人員常見的安全問題，對ASP.NET安全領(lǐng)域中的主要內(nèi)容進(jìn)行了詳細(xì)介紹。為了閱讀本書，ASP.NET開發(fā)人員應(yīng)該具備用VB語言或C#語言開發(fā)ASP.NET Web應(yīng)用程序的經(jīng)驗。通過學(xué)習(xí)本書內(nèi)容，ASP.NET開發(fā)人員能夠深入完整地掌握ASP.NET安全領(lǐng)域的開發(fā)技術(shù)，深刻理解與IIS 7.0和ASP.NET安全有關(guān)的技術(shù)基礎(chǔ)，在開發(fā)基于IlS 7.0和ASP.NET應(yīng)用程序的過程中，能夠?qū)Π踩珕栴}應(yīng)付自如。在翻譯本書過程中，我們感到作者對如何開發(fā)出可靠安全的ASP.NET應(yīng)用程序認(rèn)識得極為深刻，特別是，作者的討論時刻不偏離安全的ASP.NET應(yīng)用程序開發(fā)背后最為重要的概念，不僅解釋了如何解決開發(fā)過程中遇到的問題，還強調(diào)了采納每種技術(shù)的前因后果，以及如何有機地使用ASP.NET提供的各項安全基礎(chǔ)設(shè)施，這也是本書與其他介紹ASP.NET安全的技術(shù)書籍的最大區(qū)別，也是本書的技術(shù)亮點所在。我們相信讀者在閱讀本書之后一定會得出同樣的結(jié)論。

內(nèi)容概要

本書全面介紹ASP．NET 2．0和ASP．NET 3．5安全主題。它首先介紹信任級別、表單身份驗證、會話狀態(tài)、網(wǎng)頁安全和配置系統(tǒng)安全等概念，然后討論成員資格和角色管理器以及集成AJAX 3．5和ASP．NET 3．5安全的方法，并在最后陳述ASP．N．ET開發(fā)人員應(yīng)該遵循的最佳開發(fā)實踐。為了編寫無懈可擊的ASP．NET應(yīng)用程序，開發(fā)人員必須深入了解Web安全、部分信任環(huán)境中的開發(fā)、表單身份驗證、確保配置安全以及其他許多必需的ASP．NET安全概念。這本面向ASP．NET開發(fā)人員的精品書籍詳細(xì)描述Web應(yīng)用程序開發(fā)過程中涉及的每個重要安全領(lǐng)域，介紹普通ASP．NET安全知識，還討論了ASP．NET 3．5的新增功能和改進(jìn)功能。    《開發(fā)安全可靠的ASP．NET 3．5應(yīng)用程序——涵蓋C#和VB．NET》濃墨重彩地介紹IIS 7．0的重要安全功能和新功能，詳細(xì)討論請求生命周期，透徹解釋AJAX身份驗證和授權(quán)，深入分析ASP．NET會話狀態(tài)、成員資格及角色管理，為您使用C#或VB語言開發(fā)安全可靠的ASP．NET 3．5網(wǎng)站奠定堅實基礎(chǔ)。    主要內(nèi)容    ◆開發(fā)安全ASP．NET應(yīng)用程序(包括防范AJAX威脅)的最佳實踐    ◆如何安全讀寫ASP．NET配置文件    ◆集成ASP．NET和經(jīng)典ASP安全的技術(shù)    ◆開發(fā)階段和托管階段的各種ASP．NET信任級別    ◆各種ASENET模塊處理請求時的相關(guān)安全上下文    ◆表單身份驗證和會話狀態(tài)的安全功能    ◆如何結(jié)合使用ActiveDirectory與成員資格和角色管理器功能    讀者對象    本書主要面向使用C#或VB語言開發(fā)ASP．NET Web應(yīng)用程序的有經(jīng)驗的ASP．NET開發(fā)人員。

作者簡介

Bilal Haidar畢業(yè)于黎巴嫩美國大學(xué)，擁有計算機工程工學(xué)學(xué)士學(xué)位和計算機科學(xué)理學(xué)學(xué)士學(xué)位。Bilal在www．a(chǎn)spalliance．com、www．code-magazrne．com和www．a(chǎn)spnetpro．com等網(wǎng)站發(fā)表了多篇論文，是ASP．NET論壇聲譽卓著的最佳作者之一。Bilal從2004年開始成為Microsoft ASP．NET領(lǐng)域的MVP，并榮獲微軟認(rèn)證培訓(xùn)師資格。Bil8，目前擔(dān)任Consolidated Contractors公司的高級開發(fā)人員。Bilal的個人博客是http：／／www．bhaider．net，他在此與大眾交流極富價值的技術(shù)經(jīng)驗。

書籍目錄

第1章 IIS 7.0介紹   1.1 IIS 7.0概述   1.2 應(yīng)用程序池   1.3 IIS 7.0組件   1.4 IIS 7.0模塊   1.5 本章小結(jié) 第2章 IIS 7.0和ASP.NET的Integrated模式   2.1 IIS 7.0和ASP.NET的Integrated模式的優(yōu)點   2.2 IIS 7.0新增的Integrated模式的架構(gòu)   2.3 本章小結(jié) 第3章 IIS 7.0的Integrated模式中的HTTP請求處理   3.1 內(nèi)置的IUSR帳戶和IIS IUSRS組   3.2 在Integrated模式中針對每個請求的安全控制   3.3 統(tǒng)一的處理管道   3.4 本章小結(jié) 第4章 信任問題   4.1 ASP.NET信任級別的含義   4.2 本章小結(jié) 第5章 配置系統(tǒng)的安全   5.1 使用[location／]元素   5.2 使用lockAttributes   5.3 管理IIS 7.0配置與管理ASP.NET配置   5.4 使用托管模塊和托管處理程序擴展IIS 7.0   5.5 管理本機配置系統(tǒng)與管理托管配置系統(tǒng)   5.6 IIS 7.0功能委托   5.7 讀寫配置   5.8 部分信任級別的配置   5.9 受保護配置   5.10 本章小結(jié) 第6章 表單身份驗證   6.1 快速回顧表單身份驗證   6.2 了解持久性票證   6.3 動態(tài)地保證票證的安全   6.4 設(shè)置特定于Cookie的安全選項   6.5 使用無Cookie的表單身份驗證   6.6 在IIS 7.0中配置表單身份驗證   6.7 在ASP.NET 1.1、2.0和3.5之間共享票證   6.8 針對不同的內(nèi)容類型使用表單身份驗證   6.9 利用UserData屬性   6.10 在應(yīng)用程序之間傳遞票證   6.12 本章小結(jié) 第7章 將ASP.NET安全與Classic ASP進(jìn)行集成   7.1 IIS 5 ISAPI擴展的行為   7.2 IIS 7.0通配符映射   7.3 DefaultHttpHandler   7.4 使用DefaultHttpHandler   7.5 在IIS 7.0 Integrated模式中為Classic ASP提供服務(wù)   7.6 使用ASP.NET對Classic ASP進(jìn)行身份驗證   7.7 使用IIS 7.0的Integrated模式對ClassicASP進(jìn)行身份驗證   7.8 使用ASP.NET對Classic ASP進(jìn)行授權(quán)   7.9 使用IIS 7.0 Integrated模式對Classic ASP進(jìn)行授權(quán)   7.10 本章小結(jié) 第8章 會話狀態(tài)   8.1 比較會話狀態(tài)與登錄會話   8.2 會話數(shù)據(jù)劃分   8.3 基于Cookie的會話   8.4 無Cookie會話   8.5 在IIS 7.0內(nèi)部配置會話   8.6 在IIS 7.0 Integrated模式下運行的應(yīng)用程序的會話狀態(tài)   8.7 會話ID重用和過期的會話   8.8 會話ID拒絕服務(wù)攻擊   8.9 信任級別和會話狀態(tài)   8.10 SQL會話狀態(tài)數(shù)據(jù)庫的安全   8.11 OOP狀態(tài)服務(wù)器的安全選項   8.12 本章小結(jié) 第9章 頁面安全和編譯安全   9.1 請求驗證和視圖狀態(tài)保護   9.2 頁面編譯   9.3 欺騙性的回發(fā)   9.4 站點導(dǎo)航的安全性   9.5 本章小結(jié) 第10章 提供程序模型   10.1 使用提供程序的原因   10.2 提供程序模型使用的模式   10.3 核心提供程序類   10.4 構(gòu)造基于提供程序的功能   10.5 本章小結(jié) 第11章 成員資格   11.1 成員資格類   11.2 MembershipUser類   11.3 MembershipProvider基類   11.4 成員資格功能的“主鍵”   11.5 成員資格功能支持的環(huán)境   11.6 使用自定義的散列算法   11.7 本章小結(jié) 第12章 SqlMembershipProvider   12.1 理解公用的數(shù)據(jù)庫架構(gòu)   12.2 成員資格數(shù)據(jù)庫架構(gòu)   12.3 使用SQLServerExpress   12.4 數(shù)據(jù)庫安全   12.5 數(shù)據(jù)庫架構(gòu)和DBO用戶   12.6 修改密碼格式   12.7 自定義密碼生成   12.8 實現(xiàn)自定義加密方案   12.9 執(zhí)行自定義密碼強度規(guī)則   12.10 帳戶鎖定   12.11 實現(xiàn)自動解鎖   12.12 支持動態(tài)應(yīng)用程序   12.13 通過IIS 7.0管理應(yīng)用程序的用戶   12.14 本章小結(jié) 第13章 ActiveDirectoryMembershipProvider   13.1 ActiveDirectoryMembershipProvider支持的目錄架構(gòu)   13.2 提供程序配置   13.3 提供程序功能的獨特方面   13.4 ActiveDirectoryMembershipUser   13.5 使用Active Directory   13.6 使用ADLDS   13.7 在部分信任條件下使用提供程序   13.8 本章小結(jié) 第14章 角色管理器   14.1 Roles類   14.2 RolePrincipal類   14.3 RoleManagerModule模塊   14.4 RoleProvider   14.5 WindowsTokenRoleProvider   14.6 本章小結(jié) 第15章 SqlRoleProvider   15.1 SqlRoleProvider數(shù)據(jù)庫架構(gòu)   15.2 提供程序的安全   15.3 使用Windows身份驗證   15.4 基于受限的角色集運行   15.5 在數(shù)據(jù)層使用角色進(jìn)行授權(quán)   15.6 支持動態(tài)應(yīng)用程序   15.7 通過IIS 7.0管理應(yīng)用程序的角色   15.8 本章小結(jié) 第16章 AuthorizationStoreRoleProvider   16.1 提供程序設(shè)計   16.2 支持的功能   16.3 使用基于文件的策略存儲   16.4 使用基于目錄的策略存儲   16.5 使用基于Microsoft SQL Server數(shù)據(jù)庫的策略存儲   16.6 在部分信任環(huán)境下工作   16.7 同時使用成員資格和角色管理   16.8 本章小結(jié) 第17章 ASP.NETAJAX3.5中的成員資格和角色管理   17.1 ASP.NET成員資格和角色服務(wù)概述   17.2 ASP.NET AJAX應(yīng)用程序服務(wù)   17.3 本章小結(jié) 第18章 保證ASP.NET Web應(yīng)用程序安全的最佳實踐   18.1 Web應(yīng)用程序安全威脅概述   18.2 開發(fā)人員的注意事項   18.3 啟用了AJAX的應(yīng)用程序的安全性   18.4 本章小結(jié)

章節(jié)摘錄

插圖：IIS 7.0由多個組件構(gòu)成，這些組件構(gòu)成了Web服務(wù)器的內(nèi)部核心引擎。這些組件包括協(xié)議偵聽器、服務(wù)（如w3svc服務(wù)和WAS服務(wù)）、協(xié)議適配器，以及其他核心組件。本節(jié)將概要介紹IIS 7.0內(nèi)部用于處理請求的某些協(xié)議和服務(wù)。1.3.1 協(xié)議偵聽器協(xié)議偵聽器是一些服務(wù)，這些服務(wù)被配置為偵聽并處理特定的協(xié)議請求，這些請求來自Web服務(wù)器所屬的網(wǎng)絡(luò)。例如，安裝在一臺Windows計算機上的其中一個偵聽器專門偵聽發(fā)往此計算機的Web請求。當(dāng)然，還有一些偵聽器是專門用于偵聽其他不同協(xié)議的。如果偵聽器收到了一個請求，那么將會把這個請求轉(zhuǎn)發(fā)給IIS 7.0，由IIS 7.0處理這個請求。IIS 7.0結(jié)束處理請求之后，將把生成的響應(yīng)回送給轉(zhuǎn)發(fā)這個請求的偵聽器，最后將響應(yīng)傳送給請求者。例如，HTTP偵聽器就是一個協(xié)議偵聽器，這個偵聽器也稱為超文本協(xié)議棧（Hypei TextProtocol Stack）。對于發(fā)往Windows計算機的所有HTTP請求而言，這個偵聽器最為重要。當(dāng)Windows Vista或Windows Server 2008首次收到一個HTTP請求時，最初的處理工作實際上是由內(nèi)核模式（kernel-mode）的HTTP驅(qū)動程序http sys完成的。

編輯推薦

《開發(fā)安全可靠的ASP.NET 3.5應(yīng)用程序:涵蓋C#和VB.NET》由清華大學(xué)出版社出版。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    開發(fā)安全可靠的ASP.NET 3.5應(yīng)用程序 PDF格式下載

---