开发安全可靠的ASP.NET3.5应用程序 涵盖C#和VB.NETPDF|Epub|txt|kindle电子书版本网盘下载

开发安全可靠的ASP.NET3.5应用程序 涵盖C#和VB.NETPDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章　IIS 7.0介绍1

1.1 IIS 7.0概述1

1.1.1　模块化架构2

1.1.2　部署和配置管理3

1.1.3　改进的管理方式6

1.1.4 ASP.NET集成9

1.1.5　安全性改进11

1.1.6　对故障排除的改进12

1.2　应用程序池18

1.2.1 Integrated模式19

1.2.2 Classic模式19

1.3 IIS 7.0组件20

1.3.1　协议侦听器20

1.3.2　万维网发布服务20

1.3.3 Windows进程激活服务20

1.4 IIS 7.0模块22

1.4.1　非托管模块23

1.4.2　托管模块25

1.5 本章小结26

第2章 IIS 7.0和AS P.NET的Integrated模式27

2.1 IIS 7.0和ASP.NET的Integrated模式的优点27

2.2 IIS 7.0新增的Integrated模式的架构29

2.2.1 system.webServer配置节组31

2.2.2　将ASP.NET应用程序迁移到Integrated模式40

2.2.3　使用托管处理程序和托管模块扩展IIS 7.048

2.3　本章小结78

第3章　IIS 7.0的Integrated模式中的HTTP请求处理79

3.1　内置的IUSR帐户和IIS_IUSRS组80

3.2　在Integrated模式中针对每个请求的安全控制81

3.2.1　请求的安全标识的保存位置87

3.2.2　建立操作系统线程标识92

3.3　统一的处理管道99

3.3.　1线程标识和异步管道事件101

3.3.2　AuthenticateRequest111

3.3.3　DefaultAuthentication和Thread.CurrentPrincipal118

3.3.4　PostAuthenticateRequest121

3.3.5　AuthorizeRequest123

3.3.6　通过PreRequestHandler Execute执行的PostAuthorize Request136

3.3.7　在IIS一级阻塞请求136

3.3.8　异步页面执行过程中的标识138

3.3.9　EndRequest144

3.4　本章小结145

第4章　信任问题147

4.1　ASP.NET信任级别的含义147

4.1.1　配置信任级别150

4.1.2　信任级别分析155

4.1.3　从实用的角度再看信任级别162

4.1.4　创建自定义信任级别167

4.1.5　其他信任级别定制171

4.1.6　在中等信任级别或部分信任ASP.NET应用程序中使用LINQ179

4.1.7　ASP.NET定义的默认安全权限182

4.1.8　有关部分信任的高级主题195

4.2　本章小结222

第5章　配置系统的安全225

5.1　使用＜location／＞元素225

5.1.1　Path属性227

5.1.2　allowOverride属性228

5.2　使用lockAttributes228

5.2.1　锁定配置属性229

5.2.2　锁定元素231

5.2.3　锁定提供程序的定义233

5.3　管理IIS 7.0配置与管理ASP.NET配置235

5.4　使用托管模块和托管处理程序扩展IIS 7.0237

5.5　管理本机配置系统与管理托管配置系统238

5.6　IIS 7.0功能委托239

5.7　读写配置245

5.7.1　读取本地配置所需的权限249

5.7.2　写入本地配置所需的权限251

5.7.3　进行远程编辑所需的权限253

5.8　部分信任级别的配置255

5.8.1　requirePermission属性257

5.8.2　利用配置类要求权限258

5.8.3　FileIOPermission和设计时API260

5.9　受保护配置261

5.9.1　保护范围262

5.9.2　选择受保护的配置提供程序263

5.9.3　定义受保护配置提供程序266

5.9.4　DpapiProtectedConfiguration-Provider266

5.9.5 RsaProtectedConfiguration-Provider269

5.9.6　aspnet_regiis选项275

5.9.7　在部分信任应用程序中使用受保护配置提供程序276

5.9.8　使用自定义提供程序对配置进行重定向279

5.10　本章小结287

第6章　表单身份验证289

6.1 快速回顾表单身份验证289

6.2　了解持久性票证290

6.3　动态地保证票证的安全296

6.3.1　签名票证的安全程度296

6.3.2　ASP.NET 2.0和ASP.NET 3.5提供的加密选项301

6.4　设置特定于Cookie的安全选项305

6.4.1　requireSSL305

6.4.2　HttpOnly Cookies308

6.4.3　slidingExpiration310

6.5　使用无Cookie的表单身份验证310

6.5.1　无Cookie选项312

6.5.2　使用无Cooke票证进行重播攻击317

6.5.3　页面中的无Cookie票证和其他URL319

6.5.4　使用无Cookie票证情况下的负载的规模321

6.5.5　预期外的重定向行为323

6.6　在IIS 7.0中配置表单身份验证325

6.7　在ASP.NET 1.1、2.0和3.5之间共享票证325

6.8　针对不同的内容类型使用表单身份验证327

6.9　利用UserData属性331

6.10　在应用程序之间传递票证334

6.10.1 Cookie域334

6.10.2　跨应用程序共享票证335

6.11 强制性的单一登录和退出359

6.11.1　强制性的单一登录359

6.11.2　强制性退出369

6.12　本章小结373

第7章　将ASP.NET安全与Classic ASP进行集成375

7.1 IIS 5 ISAPI扩展的行为376

7.2 IIS 7.0通配符映射377

7.2.1　配置通配符映射378

7.2.2　资源类型设置383

7.3 DefaultHttpHandler384

7.4　使用DefaultHttpHandler386

7.5　在IIS 7.0 Integrated模式中为Classic ASP提供服务389

7.6　使用ASP.NET对Classic ASP进行身份验证390

7.6.1 了解无Cookie的表单身份验证是否能够正常工作393

7.6.2　将数据从ASP.NET传递给ASP394

7.6.3　将用户名传递给ASP396

7.7　使用IIS 7.0的Integrated模式对Classic ASP进行身份验证396

7.8 使用ASP.NET对Classic ASP进行授权398

7.8.1　将用户角色传递给Classic ASP399

7.8.2　将敏感数据安全地传递给Classic ASP401

7.8.3　散列Helper类的完整代码列表409

7.9　使用IIS 7.0 Integrated模式对Classic ASP进行授权413

7.10　本章小结417

第8章　会话状态419

8.1 比较会话状态与登录会话419

8.2　会话数据划分421

8.3　基于Cookie的会话423

8.3.1　在不同应用程序之间共享Cookie423

8.3.2　保护会话Cookie425

8.3.3　会话ID重用425

8.4　无Cookie会话426

8.5　在IIS 7.0内部配置会话427

8.6　在IIS 7.0 Integrated模式下运行的应用程序的会话状态429

8.7　会话ID重用和过期的会话437

8.8　会话ID拒绝服务攻击438

8.9　信任级别和会话状态441

8.10　SQL会话状态数据库的安全446

8.11　OOP状态服务器的安全选项448

8.12　本章小结449

第9章　页面安全和编译安全451

9.1　请求验证和视图状态保护451

9.1.1　请求验证451

9.1.2　保护视图状态的安全452

9.2　页面编译456

9.3　欺骗性的回发460

9.4　站点导航的安全性464

9.5　本章小结469

第10章　提供程序模型471

10.1　使用提供程序的原因471

10.2　提供程序模型使用的模式474

10.2.1　策略模式474

10.2.2　工厂方法476

10.2.3　单件模式483

10.2.4　外观模式485

10.3　核心提供程序类486

10.3.1 System.Configuration.Provider类486

10.3.2 System.Web.Configuration类492

10.3.3 System.Configuration类492

10.4　构造基于提供程序的功能497

10.5　本章小结521

第11章　成员资格523

11.1　成员资格类523

11.2 MembershipUser类527

11.2.1　扩展MembershipUser529

11.2.2　更新后的Membership-User状态533

11.2.3　只有特定的程序属性可以进行更新539

11.2.4　与DateTime有关的假设540

11.3 MembershipProvider基类542

11.3.1　基本配置546

11.3.2　创建用户和更新用户546

11.3.3　检索单个用户的数据549

11.3.4　检索和搜索多个用户550

11.3.5　对用户凭据进行验证550

11.3.6　支持自助式密码重置或检索552

11.3.7　跟踪在线用户554

11.3.8　常规错误处理方法555

11.4　成员资格功能的“主键”557

11.5　成员资格功能支持的环境559

11.6　使用自定义的散列算法562

11.7　本章小结565

第12章　SqlMembershipProvider567

12.1　理解公用的数据库架构567

12.1.1　存储应用程序名称568

12.1.2　公用的用户数据表569

12.1.3　对提供程序架构进行版本控制572

12.1.4　使用视图查询公用数据表574

12.1.5　将自定义功能链接到用户记录575

12.1.6　调用LOWER函数的原因578

12.2　成员资格数据库架构579

12.3　使用SQL Server Express583

12.3.1　使用SSE时的共享问题589

12.3.2　修改SSE连接字符串590

12.4　数据库安全591

12.5　数据库架构和DBO用户593

12.6　修改密码格式595

12.7 自定义密码生成597

12.8　实现自定义加密方案601

12.9　执行自定义密码强度规则604

12.9.1 挂接ValidatePassword事件607

12.9.2　实现密码历史记录608

12.10　帐户锁定626

12.11 实现自动解锁629

12.12　支持动态应用程序635

12.13　通过IIS 7.0管理应用程序的用户641

12.14　本章小结645

第13章　ActiveDirectoryMembership Provider647

13.1 ActiveDirectoryMembership-Provider支持的目录架构647

13.2　提供程序配置650

13.2.1 目录连接设置650

13.2.2 目录架构映射653

13.2.3　针对搜索的提供程序设置656

13.2.4　MembershipProvider设置657

13.3　提供程序功能的独特方面659

13.4 ActiveDirectoryMembership-User662

13.4.1 IsApproved和IsLockedOut663

13.4.2　使用ProviderUserKey程序属性664

13.5 使用Active Directory665

13.5.1　UPN和ASM帐户名称667

13.5.2　容器嵌套669

13.5.3　保护容器的安全670

13.5.4　配置自助服务密码重置676

13.6　使用ADLDS684

13.6.1　使用应用程序分区安装ADLDS685

13.6.2　使用应用程序分区690

13.7　在部分信任条件下使用提供程序692

13.8　本章小结698

第14章　角色管理器699

14.1　Roles类699

14.2　RolePrincipal类703

14.3　RoleManagerModule模块715

14.3.1　PostAuthenticateRequest716

14.3.2　EndRequest719

14.3.3　角色缓存Cookie的设置及行为720

14.3.4　在GetRoles中使用多个提供程序722

14.4　RoleProvider730

14.4.1　基本配置732

14.4.2　授权方法733

14.4.3　管理角色和角色关联733

14.5 WindowsTokenRoleProvider734

14.6　本章小结741

第15章　SqlRoleProvider743

15.1 SqlRoleProvider数据库架构743

15.1.1　特定于SQL Server的提供程序配置项745

15.1.2　事务行为746

15.2　提供程序的安全746

15.2.1　信任级别要求及配置747

15.2.2　数据库安全753

15.3　使用Windows身份验证754

15.4　基于受限的角色集运行756

15.5　在数据层使用角色进行授权763

15.6　支持动态应用程序765

15.7　通过IIS 7.0管理应用程序的角色766

15.8　本章小结769

第16章　AuthorizationStoreRole Provider771

16.1　提供程序设计771

16.2　支持的功能774

16.3　使用基于文件的策略存储776

16.4　使用基于目录的策略存储779

16.5　使用基于Microsoft SQL Server数据库的策略存储788

16.6　在部分信任环境下工作791

16.7 同时使用成员资格和角色管理794

16.8　本章小结797

第17章　ASP.NET AJAX 3.5中的成员资格和角色管理799

17.1　ASP.NET成员资格和角色服务概述799

17.1.1 ASP.NET成员资格800

17.1.2 ASP.NET角色管理802

17.2　ASP.NET AJAX应用程序服务804

17.2.1　启用使用了ASP.NET AJAX 3.5的ASP.NET应用程序804

17.2.2　启用ASP.NET应用程序服务810

17.2.3　AuthenticationService-Manager和RoleService-Manager类812

17.2.4　身份验证服务814

17.2.5　角色服务825

17.3　本章小结830

第18章　保证ASP.NET Web应用程序安全的最佳实践833

18.1　Web应用程序安全威胁概述834

18.2　开发人员的注意事项836

18.2.1　了解应用程序的用户836

18.2.2　以最低权限运行应用程序838

18.2.3　验证用户输入839

18.2.4　保护Cookie的安全848

18.2.5　保护数据库访问的安全850

18.2.6　SQL注入攻击859

18.2.7　跨网站脚本攻击863

18.2.8　跨网站请求伪造867

18.2.9　合理地处理异常871

18.2.10　防止拒绝服务攻击876

18.2.11　确保数据传输的安全882

18.3　启用了AJAX的应用程序的安全性882

18.3.1　信息泄露883

18.3.2　JSON劫持885

18.3.3　放大的跨网站脚本887

18.4　本章小结889