社区
ASP
帖子详情
作为WEB程序员!安全问题还是我们的最首要解决的问题!请大家讨论一下!
liaoyinglong
2003-09-23 06:25:24
在ASP中引用自已的控件会出现诸多的安全隐患!
如何在控件中把接口不能让客户看到了。就是说查看源文件代码!
如:
一个必须通过身份验证的页面(含控件),如何避免用户通过COPY该页面的HTML语言来逃避ASP的验证代码!
100分不够再次开贴!
...全文
42
59
打赏
收藏
作为WEB程序员!安全问题还是我们的最首要解决的问题!请大家讨论一下!
在ASP中引用自已的控件会出现诸多的安全隐患! 如何在控件中把接口不能让客户看到了。就是说查看源文件代码! 如: 一个必须通过身份验证的页面(含控件),如何避免用户通过COPY该页面的HTML语言来逃避ASP的验证代码! 100分不够再次开贴!
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
59 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
zihualive
2003-09-25
打赏
举报
回复
不太懂,观注。
liaoyinglong
2003-09-25
打赏
举报
回复
runmin(悟空~你就别追了...)
不通过验证就可直接用这个控件进行业务处理!
blues-star
2003-09-25
打赏
举报
回复
不知道指的是哪方面的安全?
liaoyinglong
2003-09-25
打赏
举报
回复
现在我终于想到一个好的办法!
我的思想是这样的:在服务器端下载我的控件时我带一个验证码给控件!
然后把这个验证码保存到数据库中!把这个验证码作为参数带给控件!
在控件中做一段验证代码!如果这个验证码与数据库中的验证码一样的话!(找到的话)
就删除数据库中的记录然后激活控件到工作状态!
如果没有找到的话!就不必理会!
liaoyinglong
2003-09-25
打赏
举报
回复
xanewong111(冰吻)
大家不能解决的就是变态题!
呵。。。。
liaoyinglong
2003-09-25
打赏
举报
回复
这贴结了。
1蓝天1
2003-09-24
打赏
举报
回复
up
liaoyinglong
2003-09-24
打赏
举报
回复
xanewong111(冰吻)
源程序如下:
Asp文件:
<Html>
<Body>
<!-- 此中为验证代码 -->
</Body>
<Form name="Form1">
<!-- 以下为我的控件 -->
<Object Id="MyOcx" ClassId="CLSID:1234-7894-1234-45678xxxxI0" CodeCase="../cab/MyOcx.Cab#VerSion=1.00.00.1">
<Param Name="UserName" Value="<%=UserName%>">
<Param Name="PassWord" Value="<%=PassWored%>">
</Object>
</Form>
此程序被IIS解释执行后代码如下:
Htm文件:
<Html>
<Body>
</Body>
<Form name="Form1">
<Object Id="MyOcx" ClassId="CLSID:1234-7894-1234-45678xxxxI0" CodeCase="../cab/MyOcx.Cab#VerSion=1.00.00.1">
<Param Name="UserName" Value="LiaoYingLong">
<Param Name="PassWord" Value="************">
</Object>
</Form>
安全隐患就出现在这个地方!
只要把这个Htm文件Copy到其他的机器上就可以不要通过我的验证代码直接进行操作呢!
这笑容依然真实
2003-09-24
打赏
举报
回复
恩,是这样的,你必须在服务端加上Session的认证,这是最简单最有效的方法
xanewong111
2003-09-24
打赏
举报
回复
所以我想知道如何:
如何在网页中屏蔽控件的接口参数!
让客户不能看到你的控件接口参数!
---------------------------
你是个么回事撒?我还冒听明白你是个么意思,举个例子来听听撒~!~!~
liaoyinglong
2003-09-24
打赏
举报
回复
xanewong111(冰吻)
谢谢你呢!如果此页没有控件!
我相信这个方法一定可行!
但有了控件就不是Form的问题呢!因为控件是直接与数据端进行交换数据的!
而不经过提交来完成!
只是在此Form中激活此控件而已!余下来的事就全部给了控件来完成!
所以我想知道如何:
如何在网页中屏蔽控件的接口参数!
让客户不能看到你的控件接口参数!
如果只有纯Asp程序和Html语言的话!
你的方法和他们的方法都是可行的.
twsky
2003-09-24
打赏
举报
回复
我同意 xanewong111(冰吻) 的方法,你要到屏蔽form提交地址真的不可能,就连ASP。NET也做不到,我觉得用session 比较好,哈哈 这是我的个人看法
xanewong111
2003-09-24
打赏
举报
回复
request.ServerVariables("HTTP_REFERER")
用这个判断是否来自同一服务器。
网页中你怎么样也办不到屏蔽form提交地址的,这个你就不用试了。
用session和request.ServerVariables("HTTP_REFERER")足够可以防止外部提交的情况了,正儿八经的ASP安全问题是你的服务器是否安全和FORM表单提交关于非法字符判断的问题,这两个问题你如果都做好了,剩下的安全问题你在考虑的话,那么有点杞人忧天了~~~~
zxmout
2003-09-24
打赏
举报
回复
代码加密是没有用的,你加密使用的软件,别人早有了解密的软件。如果你能自己写一个加密程序,其算法不为人知,我想还有一定的效果。可是,道高一尺,魔高一丈。想黑就没有黑不了的。我项大家还是应该把心放开一点,正视这个事情。但是象session("user")<>"" 的认证还是很有必要的。不要想太多了哦!
dw2003
2003-09-24
打赏
举报
回复
大师我还是不明呀?
hfkj
2003-09-24
打赏
举报
回复
:)
liaoyinglong
2003-09-24
打赏
举报
回复
或许我陈述的不够明白!
如何在网页中屏蔽控件的接口参数!
让客户不能看到你的控件接口参数!
dw2003
2003-09-24
打赏
举报
回复
那怎样轮换呀?请指教?
popcode
2003-09-24
打赏
举报
回复
楼主:自己先把哪些是在客户端执行,哪些是在服务器端执行的弄清楚!
yuanxy
2003-09-24
打赏
举报
回复
to liaoyinglong
判断提交者url地址(用server对象)的地址如果不是从www.???.com提交过来的就不处理
加载更多回复(39)
C#微软培训资料
<<page 1>> page begin==================== 目 目目 目 录 录录 ... 2000 年 6 月 22 日 不论对 Microsoft 还是对整个 IT 业界都将成为值得纪念的一天 这一天 微软公司正式推出了其下一代...
linux程序设计(第三版)
在编写本书时,我们假设读者以前不了解LINUXUNIX及编程知识,对所涉及编程工具的深度和广度进行了恰当安排,使初学者或有经验的
程序员
都可从中获益。 读者对象 本书可用作LINUX或UNIX平台上介绍编程和数据结构课程...
程序员
的职业生涯
分享如何看代码、解bug、做功能、做测试等基本的开发能力,分享编写高质量代码技巧和独立
解决
问题
的能力。 工作3-5年的
程序员
缺少方向,技术厉害,职业再上一层困难,往往陷入是做技术还是转管理的两难中。《高级...
PHP基础教程 是一个比较有价值的PHP新手教程!
ASP只是一个一般的引擎,具有支持多种语言的能力,不过默认的并且是最常用的还是VBScript。 mod_perl与Perl一样强大,只是更快一些。 二、PHP入门 PHP站点的在线教程已经很棒了。在那里还有一些其他教程的链接。...
二十三种设计模式【PDF版】
主要是介绍各种格式流行的软件设计模式,对于
程序员
的进一步提升起推进作用,有时间可以随便翻翻~~ 23种设计模式汇集 如果你还不了解设计模式是什么的话? 那就先看设计模式引言 ! 学习 GoF 设计模式的重要性 ...
ASP
28,391
社区成员
357,060
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章