一、ASP.NET 開發(fā)人員應當始終堅持的做法

如果您正在閱讀本文，可能就不需要再向您灌輸 Web 應用程序中的安全性愈來愈重要這一事實了。您需要的可能是一些有關(guān)如何在 ASP.NET 應用程序中實現(xiàn)安全性的實際建議。壞消息是，沒有任何開發(fā)平臺 — 包括 ASP.NET在內(nèi) — 能夠保證一旦采用了該平臺，您就能夠編寫百分百安全的代碼。誰要是這么說，一準在撒謊。好消息是，就 ASP.NET 來說，ASP.NET，特別是版本 1.1 和即將發(fā)行的版本 2.0，集成了一些便于使用的內(nèi)置防御屏障。

光是應用所有這些功能并不足以保護 Web 應用程序，使其免受任何可能和可預見的攻擊。但是，如果與其他防御技巧和安全策略相結(jié)合，內(nèi)置的 ASP.NET 功能將可以構(gòu)成一個強大的工具包，有助于確保應用程序在安全的環(huán)境中運行。

ASP.NET Web安全性是各種因素的總和，是一種范圍遠超單個應用程序的策略的結(jié)果，這種策略涉及數(shù)據(jù)庫管理、網(wǎng)路配置，以及社會工程和 phishing.本文的目的在于說明 ASP.NET 開發(fā)人員為了將安全標準保持到合理的高度，所應始終堅持的做法。這也就是安全性最主要的內(nèi)容：保持警惕，永不完全放松，讓壞人越來越難以發(fā)起黑客攻擊。

下面我們來看看 ASP.NET 提供了哪些可以簡化這項工作的功能。

二、威脅的來源

列表中顯現(xiàn)出來的關(guān)鍵性事實有哪些？在我看來，起碼有以下三點：
1.無論您何時將何種用戶輸入插入瀏覽器的標記中，您都潛在地將自己暴露在了代碼注入攻擊（任何 SQL 注入和 XSS 變種）之下。
2.必須以安全的方式實現(xiàn)數(shù)據(jù)庫訪問，就是說，應當為數(shù)據(jù)庫使用盡可能少的權(quán)限，并通過角色來劃分各個用戶的職責。
3.永遠都不通過網(wǎng)絡(luò)發(fā)送敏感數(shù)據(jù)（更別說是明文了），并且必須以安全的方式將敏感數(shù)據(jù)存儲在服務器上。

有意思的是，上面的三點分別針對的是ASP.NET Web安全性的三個不同方面，而這三個方面結(jié)合起來，才是唯一的一種生成防攻擊、防篡改應用程序的合理方式。ASP.NET Web安全性的各個層面可以總結(jié)如下：

1.編碼實踐：數(shù)據(jù)驗證、類型和緩沖區(qū)長度檢查，防篡改措施

2.數(shù)據(jù)訪問策略：使用決策來保護可能最弱的帳戶，使用存儲過程或者至少是參數(shù)化的命令。

3.有效的存儲和管理：不將關(guān)鍵性數(shù)據(jù)發(fā)送到客戶端，使用哈希代碼來檢測操作，對用戶進行身份驗證并保護標識，應用嚴格的密碼策略如您所看到的，只有可以通過開發(fā)人員、架構(gòu)師和管理員的共同努力，才可以產(chǎn)生安全的應用程序。請不要假定您能夠以其他方式達到同樣目的。

編寫 ASP.NET 應用程序時，您并不是獨自面對黑客大軍：唯一的武器是通過自己的大腦、技能和手指鍵入的代碼行。ASP.NET 1.1 和更高版本都會施加援手，它們具有一些特定的功能，可以自動提高防御以上列出的某些威脅的屏障。下面我們對它們進行詳細的檢視。

三、ViewStateUserKey

從 ASP.NET 1.1 開始引入，ViewStateUserKey 是 Page 類的一個字符串屬性，只有很少數(shù)開發(fā)人

【編輯推薦】

1. 淺析ASP.NET Web 安全性
2. ASP.NET的Session State
3. 淺析IsPostBack屬性ASP.NET
4. ASP.NET構(gòu)架與安全機制
5. 概述ASP.NET水晶報表