新疆ag亚美客户端开发

本站首页 ag亚美客户端开发 成功案例 公司新闻 公司简介 客服中心 ag亚美客户端技术 网站建设
  您现在的位置: 新疆亚美棋牌ag亚美客户端开发公司 >> .Net技术 >> 文章正文

asp,netag亚美客户端结构设计和相关的安全性问题

  asp.net程序的结构该如何设计呢,我们看看下面的这篇文章: 
     从逻辑上讲,您需要规划解决方案以标识数据存储、数据访问、业务规则、用户界面等之间的“边界”。通常,Web 开发人员会选择一个两阶段模型,并用 Web 窗体存储用于访问现有数据存储系统(例如 Microsoft SQL Server)的所有代码。一个更有效的方法是创建一个位于 Web 窗体用户界面与 SQL Server 数据存储系统之间的中间层组件库。这种三层方法(Web 窗体、组件、数据库)通常是大多数应用程序所需的。但是,在某些情况下,可能需要一个其他层来处理服务器之间传输的数据。这个传输层可以使用独立于平台的协议(例如 XML-SOAP)来实现。但是,如果您从头到尾都使用 Microsoft .NET 技术,则可以使用 .NET 远程协议的二进制版来完成这一任务,而且速度比使用 XML-SOAP 要快得多。

  对于我们的示例,我们将定义三个逻辑边界:用户界面(Web 窗体)、中间层(一个 .NET 组件程序集)和数据层(SQL Server 数据库)。
  另外,逻辑层有助于我们考虑安全问题。各个图层之间的边界都存在潜在的安全漏洞。而且,各个图层可能有自己特定的安全措施(SQL Server 权限、.NET 运行时权限、ASP.NET 安全等)。同样,我们稍后会在本节中详细讨论这个问题。
   现在我们有一个简单的逻辑模型。它是如何起作用的?它有助于我们考虑各个逻辑组之间的边界。每个逻辑层应尽量与其他层独立。理想的情况是,图层中的更改应该对整体产生最小的影响。例如,如果将数据存储从 SQL Server 更改到 XML 数据文件,唯一受到影响的图层应是中间层图层。用户界面应该根本无需考虑更改。这会使您进行思考:如何实现解决方案的实际编码以实现此原则。

一、物理体系结构
  确定逻辑层后,考虑物理层也很重要。例如,您可以在同时安装有 SQL Server、Internet Information Server、ASP.NET 和 .NET 运行时的单个实际计算机上实现这个应用程序。这将是一个物理层。但更可靠且可扩展的方法是:在由三个 Web 服务器组成的簇上部署 Web 窗体,在两个应用服务器上部署 .NET 组件程序集,在两个故障恢复模式的 SQL Server 上部署数据库。这样产生的物理体系结构将七个 Windows 服务器包含在三个主要组中:Web 簇、组件簇和数据库簇。如果您了解系统的不同逻辑部件可以位于不同的计算机上,您可能会实现不同的代码。对于示例,我们采用一个有效且强大的两层模型:数据库服务器托管 SQL Server 数据存储Web 服务器托管用户界面和组件。如果通信量非常大,这个模型使我们可以灵活地在簇中添加更多的服务器,并使其保持足够的简洁以便于处理。正如您看到的那样,逻辑体系结构和物理体系结构不必相同。在规划阶段还要考虑一项内容:安全。

二、安全规划设计
  Microsoft 有一个关于安全性与ag亚美客户端这一主题的歌诀:“Secure by design, secure by default, and secure by deployment(设计安全,默认安全和部署安全)”。即,在安全中设计,期待系统在默认情况下是安全的,以及创建可以在安全环境中成功部署的解决方案。安全始终是重要的。既然越来越多的ag亚美客户端要在公用的 Internet 上“生存”,编写安全的ag亚美客户端就更加关键。对于我们而言,幸运的是,.NET 运行时和 Windows 操作系统提供广泛的安全选项和功能,我们可以轻松地将其包含在我们的应用程序中。无需过分注重标识和消除联机解决方案中安全漏洞的细节,我们可以指出其中一些最常见的漏洞并指出我们的应用程序规划如何进行处理。

  注意:有关可用选项的详细信息,请参阅 Microsoft Security Developer Center。
三、缓冲区溢出设计

  这可能是已编译应用程序中最常见的安全漏洞。由于我们将使用 .NET 运行时,而它是设计用来在内存中安全运行的,因此不太可能发生缓冲区溢出。此外,我们使用 Microsoft Visual Basic? .NET 对解决方案进行编码,而 Microsoft Visual Basic? .NET 不像 C 或 C++ 那样容易受到缓冲区溢出问题的影响。但是,即使我们打算用 C++ 创建组件,我们还可以使用编译程序的特殊功能,GS 转换,来保护我们免受大多数缓冲区溢出的攻击。
四、数据库攻击设计
  另一种常见的安全漏洞可能会使恶意用户获得访问存储在数据库中的原始数据的权限。为了防止黑客获得数据的控制权,我们仅使用 SQL Server 存储过程,而不使用“内联查询”。这样可以大大减少试图在输入流中插入其他 SQL 命令的攻击。我们还在程序中多个位置处使用输入验证,以确保所有输入仅包含有效的字符。

五、交叉站点脚本攻击设计
  对 Web 应用程序进行的常见攻击还有一种,它涉及到用户在输入流中添加客户方脚本,这类攻击将执行附加的对话并诱骗用户将个人数据发送到黑客自己的 Web 站点。要解决这个问题,我们使用 ASP.NET 1.1 的一个新功能,过滤出这种恶意代码的所有输入,防止将它置入系统中。显示屏幕上还包含附加代码,它将自动禁用任何脚本或显示可能会插入到数据存储中的标记。 至此,我们已获得了应用程序的逻辑模型和物理模型,以及确保实现方案包含的安全功能清单。拥有了这些以及目标声明和用户方案,我们可以开始这次“编码前”探险的最后一部分了。

作者:未知 | 文章来源:未知 | 更新时间:2008-5-6 13:48:46

  • 上一篇文章:

  • 下一篇文章:

  • 相关文章:
    搜集整理的asp.net的验证方式大全session
    如何解决Menu菜单被frame遮挡以及iframe自适应的问题
    Orcale与Asp.net的端口冲突解决方法
    如何利用SQL Server进行会话状态session的保持
    ASP.NET 2.0之Memebership扩展应用解决方案
    数据库设计-数据库的三级模式
    ASP.NET中如何使用unsafe选项
    三个视图搞定SqlServer数据库字典
    深入了解数据源控件Data Souce controls
    asp.net调用js代码乱码的问题
    ag亚美客户端技术
    · 开发语言
    · Java技术
    · .Net技术
    · 数据库开发
    最新文章  
    ·.net技术 asp.net MVC3 Vi
    ·.net将视频文件格式转换成
    ·NET Framework 2.0 Servic
    ·如何动态修改winform的app
    ·asp,netag亚美客户端结构设计和相关
    ·学习怎样使用ASP.NET中的虚
    ·,net基础类的学习:system
    ·.net学习:c#事件的深入分
    ·Facade Pattern学习总结
    ·C#如何设置或者获取目录的
    ·如何使用XSL来定义ASP.NET
    ·理解WCF Data Contract契约
    ·如何能在.net2.0开发的控件
    ·模式怎样使用,讲解模式的
    ·如何解决Menu菜单被frame遮
    关于我们 | ag亚美客户端开发 | 下载试用 | 客服中心 | 联系我们 | 友情链接 | 网站地图 | 新疆电子地图 | RSS订阅
    版权所有 © 2016 新疆亚美am8ag www.k8w.net All Rights Reserved 新ICP备14003571号
    新疆ag亚美客户端开发总机:0991-4842803、4811639.
    客服QQ:596589785 ;地址:新疆乌鲁木齐北京中路华联大厦A-5C 邮编:830000