0

SSL は、転送中に第三者が転送されたデータを読み取ったり変更したりするのを防ぐために使用されます。

サーバーにデータを送信し、サーバーから応答を取得するユーザーは、当然のことながら、任意の方法でデータを表示および変更できます。したがって、ユーザーは、ビュー ステートを含む非表示のフォーム フィールドを変更できます。Base64 エスケープは、ここでは何の保護も提供しません。これは、文字セットの会話によってバイナリ データが台無しにならないようにするための手段にすぎません。

したがって、ビュー ステート/hiddent フィールドに信頼できる情報が含まれている可能性が高く、悪意のあるユーザーが変更してはならない場合は、暗号化と署名を有効にする必要があります。

私はその声明について少し混乱しています

これは、文字セットの会話によってバイナリ データが台無しにならないようにするための手段にすぎません。「バイナリデータは文字セットの会話によって台無しにされていません」と言おうとしているユーザーは、それをより詳細に説明できます。

hiddent フィールドの暗号化と署名を有効にする方法は?

hiddent フィールドに署名する方法は? asp.net MVC の hiddent フィールドの暗号化と署名のすべての手順を教えてください。

ありがとう

4

2 に答える 2

1

ユーザーがブラウザを制御するため、「悪意のあるユーザー」に対してできることはほとんどありません。確実にできる唯一のことは、サーバー側で入力をフィルタリングして再確認することです。本当に必要な場合は、難読化を実行できますが、暗号化と署名は役に立ちません。最悪の場合、何もない送信データに信頼を作成します。

サーバーを安全に保ち、できれば高水準言語で適切なフィルタリングを実行し (バッファ オーバーフローなし)、TLS 設定が既知の攻撃 (BEAST 攻撃など) から保護されていることを確認してください。それがあなたにできる最善のことです...

于 2013-09-23T18:29:12.033 に答える