Материалы по безопасности в ASP.NET Core
ASP.NET Core позволяет разработчикам настраивать параметры безопасности и управлять ими. В следующем списке приведены ссылки на разделы по безопасности:
- Аутентификация
- Авторизация
- Защита данных
- Применение HTTPS
- Безопасное хранение секретов приложений во время разработки
- Предотвращение XSRF/CSRF
- Общий доступ к ресурсам независимо от источника (CORS)
- Атаки с выполнением межсайтовых сценариев (XSS)
Эти функции обеспечения безопасности позволяют создавать надежные и защищенные приложения ASP.NET Core.
Функции безопасности в ASP.NET Core
ASP.NET Core предоставляет множество средств и библиотек для защиты приложений, включая встроенные поставщики удостоверений и сторонние службы удостоверений, такие как Facebook, LinkedIn или Twitter. ASP.NET Core предоставляет несколько подходов к хранению секретов приложений.
Проверка подлинности и авторизация
Проверка подлинности — это процесс, когда пользователь вводит учетные данные, которые затем сравниваются с данными, хранящимися в операционной системе, базе данных, приложении или ресурсе. Если они совпадают, пользователи успешно проходят аутентификацию и после авторизации могут выполнять разрешенные действия. Авторизация представляет собой процесс, определяющий, какие действия может выполнять пользователь.
Если взглянуть на проверку подлинности с другой стороны, ее можно считать способом входа в определенную область, например на сервер, в базу данных, приложение или ресурс, тогда как авторизация определяет, какие действия с какими объектами может выполнять пользователь в этой области (на сервере, в базе данных или приложении).
Распространенные уязвимости в программном обеспечении
ASP.NET Core и EF содержат средства, помогающие защитить приложения и предотвратить возникновение нарушений безопасности. Далее приводится список ссылок на документацию с описанием методов, позволяющих устранять наиболее распространенные уязвимости в веб-приложениях:
- Атаки с выполнением межсайтовых сценариев (XSS)
- Атаки путем внедрения кода SQL
- Атаки с межсайтовой подделкой запросов (CSRF)
- Атаки с открытой переадресацией
Существует еще целый ряд уязвимостей, о которых следует знать. Дополнительные сведения см. в других статьях раздела Безопасность и Identity.
Дополнительные ресурсы
ASP.NET Core