ASP.NET Web Forms Kullanmaya Başlama
Web Forms modeli ve sayfa oluşturma ve denetimleri kullanma.
ASP.NET 4.5 Web Forms ve Visual Studio 2013 ile Çalışmaya Başlama
ASP.NET Web Forms’da Visual Studio 2012 için Sayfa Denetçisini Kullanma
Sayfamdaki dış kaynaklar neden Web Live Preview'da engelleniyor?
Sayfanızda üçüncü taraf etki alanından gelen dış kaynaklarınız varsa, Web Live Preview'daki tasarımcının bunların yüklenmesini engellediğini ve şu bildirimi gösterdiğini fark edebilirsiniz:
Kaynakların tasarımcıda yüklenmesinin neden engellendiğini ve bildirimin neden gösterildiğini merak ediyor olabilirsiniz. Bu makalede kaynakların neden engellendiği açıklanmaktadır.
Web Live Preview ve BrowserLink'e Genel Bakış
Web Live Preview (WLP), BrowserLink üzerinde oluşturulmuş bir Visual Studio uzantısıdır. WLP, Visual Studio ile tasarımcı arasında iki yönlü iletişim için bir kanal sağlamak üzere BrowserLink'i kullanır. Bu iki yönlü iletişim, WLP'nin birçok özellik sağlamasına olanak tanır:
- Tasarımcıda içeriği ve seçili durumdaki düğümü düzenleyicininkiyle eşitleme.
- Tasarımcıdan oluşturulan yeni içerikleri düzenleyiciye gönderme.
- Eylem Paneli komutları yürütülüyor.
Web Live Preview ve BrowserLink ile Olası Güvenlik Açıkları
Üçüncü taraflardan herhangi bir betik veya kaynağı web sayfanıza eklerseniz bu, Siteler Arası Betik Oluşturma (XSS) saldırısı yapmak için WLP ve BrowserLink kullanarak olası bir güvenlik açığına maruz kalmanıza neden olabilir.
Üçüncü taraf bir kaynak siteye kötü amaçlı kod ekleyebilirse, kod Visual Studio'ya geri çağrı yapmak için tasarımcıya eklenen Tarayıcı Bağlantısı betiğini kullanabilir. Eklenen betik, kodun Visual Studio'da açık olan dosyalara rastgele içerik yazmasına veya diğer saldırı vektörlerini açmasına olanak sağlayabilir.
Şu anda saldırganların BrowserLink betiği aracılığıyla Visual Studio'ya geri iletişim kurmasını önlemenin iyi bir yolu yoktur.
Güvenlik açığı azaltma
BrowserLink betiği aracılığıyla Visual Studio'ya geri iletişimde bulunan güvenlik açıklarını mümkün olduğunca sınırlayıp azaltmış olduk. Ancak bazı saldırılar yine de XSS saldırısıyla mümkün hale getirilebilir.
Bu tür bir XSS saldırısı olasılığını azaltmak için WLP varsayılan olarak tüm dış kaynakların yüklenmesini engeller. Herhangi bir dış kaynak engellenirse WLP, tasarımcının sağ üst köşesinde aşağıdaki bildirimi gösterir:
(Bu örnekte, örnek bir web uygulamasında kullanılan dış kaynak olan aşağıdaki SVG'yi kullanırız: https://visualstudio.microsoft.com/wp-content/uploads/2021/10/Product-Icon.svg)
Microsoft Edge Geliştirici Araçları penceresi açılırsa dış kaynağın neden yüklenemediğine ilişkin aşağıdaki iletiyi de görebilirsiniz:
Tasarımcının bildiriminde buraya tıklayın bağlantısını seçerseniz aşağıdaki iletişim kutusu açılır ve engellenen kaynakların etki alanları iletişim kutusunun listesine otomatik olarak eklenir:
İletişim kutusu listesinde depolanan dış etki alanlarından gelen kaynaklar WLP'de varsayılan olarak engellenmez ve her zamanki gibi yüklenir. Tamam'a tıkladıktan sonra tasarımcı sayfayı yeniden yükler ve etki alanları iletişim kutusuna eklenmiş olan önceden engellenen kaynakları yükler. Yalnızca doğruladığınız dış etki alanlarının güvenilir ve güvenli olmasına izin verdiğinizden emin olun.
Bildirimde Web Live Preview - dış etki alanları bağlantısına tıklanması aynı iletişim kutusunu açar, ancak engellenen kaynakların etki alanlarından hiçbirini iletişim kutusuna eklemez:
İletişim kutusuna ayarı aracılığıyla Tools -> Options -> Web Live Preview -> Allowed external domains during design da erişebilirsiniz. İletişim kutusu ayarları, Visual Studio'nun yüklü örneği başınadır.
Uyarı
Etki alanlarının varsayılan olarak engellenmemesi sizi yukarıda belirtilen XSS saldırısına maruz bırakabilir. Yine, yalnızca güvenilir ve güvenli olarak doğrulayabileceğiniz dış etki alanlarına izin vermenizi kesinlikle öneririz.