是否有一种技术可以使用良好的加密标准来加密 ASP.NET Web 应用程序上通过 SSL/HTTPS 的所有请求,以确保当 Web 应用程序在公共(public) WiFi 连接(咖啡馆、餐馆、酒店等),如果网络中有任何东西捕获原始数据包,则数据无法读取?
内置 View 状态加密足够好吗?
<configuration>
<system.web>
<machineKey validation="3DES" />
</system.web>
</configuration>
最佳答案
通常,缓解中间人攻击的方法是通过 SSL 运行网站,这将加密客户端(Web 浏览器)和服务器之间的整个 channel 。这与
但是,确定您要缓解哪些特定攻击非常重要。例如,SSL 可以帮助防止第三方窃听或篡改客户端和服务器之间传输的数据,但它不会减轻针对服务器的可用性攻击。
了解如何正确配置这一点也很重要:每个页面(包括登录页面)都必须通过 SSL 提供服务才能有效保护。您不能拥有混合模式内容(指向 HTTP .js 文件的 SSL 页面)。最佳实践是设置 HSTS header ,为客户端提供额外的安全性。
您应该知道这如何集成到您网站的完整安全故事中。仅使用 SSL 还不够。如果您的网站中存在 XSS 或 XSRF (CSRF) 漏洞,您的客户端仍然容易受到恶意第三方的攻击。</p>
StackOverflow 和其他论坛上有很多关于这些的好信息。 https://owasp.org/也是一种值得尊敬的资源。最后,如果您的网站足够重要/敏感,以至于您担心攻击者窃听您的流量,那么您应该考虑专业的安全审核员。
关于asp.net - 加密 ASP.NET 请求和响应以避免 "man-in-the-middle"攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22508374/