Web サイトのディレクトリに適用した承認規則をバイパスできるのでしょうか? つまり、誰かが (何らかのトリックやハックを使用して)特権を持たずにリソースにアクセスできるということですか?
2 に答える
可能であれば、私たち (ASP.NET チーム) はパッチを適用する必要があります。私たちは、開発者が URL ベースの認証を使用して Web フォーム ページを確実に保護できることを宣伝しています。
MVC アクションやルーティング パイプラインを通過するその他のものを保護するために、URL ベースの承認を使用しないでください。これは、複数の URL を介して特定の MVC コントローラーまたはアクションにアクセスできる状況に陥りやすく、多くの場合、すべての順列を把握して構成を介してシャットダウンするのが難しすぎるためです。詳細については、Eric が投稿したリンクを参照してください。
ASP.Net MVC アプリケーションを保護するために web.config に依存しないでください。同じことが ASP.Net Web フォームに当てはまるかどうかはわかりません。
MVC アプリケーションを保護するためにルーティングまたは web.config ファイルを使用することはできません。MVC アプリケーションを保護するためにサポートされている唯一の方法は、Authorize 属性を各コントローラーに適用し、ログインおよび登録アクションで新しい AllowAnonymous 属性を使用することです。現在の領域に基づいてセキュリティの決定を下すことは非常に悪いことであり、アプリケーションを脆弱性にさらすことになります.