开发安全可靠的ASP.NET 3.5应用程序

前言

随着Windows Server操作系统在企业环境中的广泛使用，目前，随Windows Vista和Windows Server 2008一同发行的IIS 7.0已经成为一种广泛应用的Web服务器，IIS 7.0能够与ASP.NET很好地集成，统一了请求的处理方式。IIS 7.0使ASP.NET 2.0和ASP.NET 3.5成为一种能够支持Web服务器扩展的可扩展框架。因此，如何使用ASP.NET提供的核心安全技术来保证ASP.NET应用程序的安全已经得到了广泛的重视。本书深入详细地介绍了开发安全ASP.NET应用程序的理论和最佳实践，还介绍了ASP.NET各项功能的内部工作原理，并强调了如何通过编程方式开发可靠安全的ASP.NET应用程序，而且给出了大量的代码示例，同时还强调了如何合理地选择方案，确保ASP.NET.应用程序能够安全地工作。本书面向ASP.NET开发人员，针对ASP.NET开发人员常见的安全问题，对ASP.NET安全领域中的主要内容进行了详细介绍。为了阅读本书，ASP.NET开发人员应该具备用VB语言或C#语言开发ASP.NET Web应用程序的经验。通过学习本书内容，ASP.NET开发人员能够深入完整地掌握ASP.NET安全领域的开发技术，深刻理解与IIS 7.0和ASP.NET安全有关的技术基础，在开发基于IlS 7.0和ASP.NET应用程序的过程中，能够对安全问题应付自如。在翻译本书过程中，我们感到作者对如何开发出可靠安全的ASP.NET应用程序认识得极为深刻，特别是，作者的讨论时刻不偏离安全的ASP.NET应用程序开发背后最为重要的概念，不仅解释了如何解决开发过程中遇到的问题，还强调了采纳每种技术的前因后果，以及如何有机地使用ASP.NET提供的各项安全基础设施，这也是本书与其他介绍ASP.NET安全的技术书籍的最大区别，也是本书的技术亮点所在。我们相信读者在阅读本书之后一定会得出同样的结论。

内容概要

本书全面介绍ASP．NET 2．0和ASP．NET 3．5安全主题。它首先介绍信任级别、表单身份验证、会话状态、网页安全和配置系统安全等概念，然后讨论成员资格和角色管理器以及集成AJAX 3．5和ASP．NET 3．5安全的方法，并在最后陈述ASP．N．ET开发人员应该遵循的最佳开发实践。为了编写无懈可击的ASP．NET应用程序，开发人员必须深入了解Web安全、部分信任环境中的开发、表单身份验证、确保配置安全以及其他许多必需的ASP．NET安全概念。这本面向ASP．NET开发人员的精品书籍详细描述Web应用程序开发过程中涉及的每个重要安全领域，介绍普通ASP．NET安全知识，还讨论了ASP．NET 3．5的新增功能和改进功能。    《开发安全可靠的ASP．NET 3．5应用程序——涵盖C#和VB．NET》浓墨重彩地介绍IIS 7．0的重要安全功能和新功能，详细讨论请求生命周期，透彻解释AJAX身份验证和授权，深入分析ASP．NET会话状态、成员资格及角色管理，为您使用C#或VB语言开发安全可靠的ASP．NET 3．5网站奠定坚实基础。    主要内容    ◆开发安全ASP．NET应用程序(包括防范AJAX威胁)的最佳实践    ◆如何安全读写ASP．NET配置文件    ◆集成ASP．NET和经典ASP安全的技术    ◆开发阶段和托管阶段的各种ASP．NET信任级别    ◆各种ASENET模块处理请求时的相关安全上下文    ◆表单身份验证和会话状态的安全功能    ◆如何结合使用ActiveDirectory与成员资格和角色管理器功能    读者对象    本书主要面向使用C#或VB语言开发ASP．NET Web应用程序的有经验的ASP．NET开发人员。

作者简介

Bilal Haidar毕业于黎巴嫩美国大学，拥有计算机工程工学学士学位和计算机科学理学学士学位。Bilal在www．aspalliance．com、www．code-magazrne．com和www．aspnetpro．com等网站发表了多篇论文，是ASP．NET论坛声誉卓著的最佳作者之一。Bilal从2004年开始成为Microsoft ASP．NET领域的MVP，并荣获微软认证培训师资格。Bil8，目前担任Consolidated Contractors公司的高级开发人员。Bilal的个人博客是http：／／www．bhaider．net，他在此与大众交流极富价值的技术经验。

书籍目录

第1章 IIS 7.0介绍   1.1 IIS 7.0概述   1.2 应用程序池   1.3 IIS 7.0组件   1.4 IIS 7.0模块   1.5 本章小结 第2章 IIS 7.0和ASP.NET的Integrated模式   2.1 IIS 7.0和ASP.NET的Integrated模式的优点   2.2 IIS 7.0新增的Integrated模式的架构   2.3 本章小结 第3章 IIS 7.0的Integrated模式中的HTTP请求处理   3.1 内置的IUSR帐户和IIS IUSRS组   3.2 在Integrated模式中针对每个请求的安全控制   3.3 统一的处理管道   3.4 本章小结 第4章 信任问题   4.1 ASP.NET信任级别的含义   4.2 本章小结 第5章 配置系统的安全   5.1 使用[location／]元素   5.2 使用lockAttributes   5.3 管理IIS 7.0配置与管理ASP.NET配置   5.4 使用托管模块和托管处理程序扩展IIS 7.0   5.5 管理本机配置系统与管理托管配置系统   5.6 IIS 7.0功能委托   5.7 读写配置   5.8 部分信任级别的配置   5.9 受保护配置   5.10 本章小结 第6章 表单身份验证   6.1 快速回顾表单身份验证   6.2 了解持久性票证   6.3 动态地保证票证的安全   6.4 设置特定于Cookie的安全选项   6.5 使用无Cookie的表单身份验证   6.6 在IIS 7.0中配置表单身份验证   6.7 在ASP.NET 1.1、2.0和3.5之间共享票证   6.8 针对不同的内容类型使用表单身份验证   6.9 利用UserData属性   6.10 在应用程序之间传递票证   6.12 本章小结 第7章 将ASP.NET安全与Classic ASP进行集成   7.1 IIS 5 ISAPI扩展的行为   7.2 IIS 7.0通配符映射   7.3 DefaultHttpHandler   7.4 使用DefaultHttpHandler   7.5 在IIS 7.0 Integrated模式中为Classic ASP提供服务   7.6 使用ASP.NET对Classic ASP进行身份验证   7.7 使用IIS 7.0的Integrated模式对ClassicASP进行身份验证   7.8 使用ASP.NET对Classic ASP进行授权   7.9 使用IIS 7.0 Integrated模式对Classic ASP进行授权   7.10 本章小结 第8章 会话状态   8.1 比较会话状态与登录会话   8.2 会话数据划分   8.3 基于Cookie的会话   8.4 无Cookie会话   8.5 在IIS 7.0内部配置会话   8.6 在IIS 7.0 Integrated模式下运行的应用程序的会话状态   8.7 会话ID重用和过期的会话   8.8 会话ID拒绝服务攻击   8.9 信任级别和会话状态   8.10 SQL会话状态数据库的安全   8.11 OOP状态服务器的安全选项   8.12 本章小结 第9章 页面安全和编译安全   9.1 请求验证和视图状态保护   9.2 页面编译   9.3 欺骗性的回发   9.4 站点导航的安全性   9.5 本章小结 第10章 提供程序模型   10.1 使用提供程序的原因   10.2 提供程序模型使用的模式   10.3 核心提供程序类   10.4 构造基于提供程序的功能   10.5 本章小结 第11章 成员资格   11.1 成员资格类   11.2 MembershipUser类   11.3 MembershipProvider基类   11.4 成员资格功能的“主键”   11.5 成员资格功能支持的环境   11.6 使用自定义的散列算法   11.7 本章小结 第12章 SqlMembershipProvider   12.1 理解公用的数据库架构   12.2 成员资格数据库架构   12.3 使用SQLServerExpress   12.4 数据库安全   12.5 数据库架构和DBO用户   12.6 修改密码格式   12.7 自定义密码生成   12.8 实现自定义加密方案   12.9 执行自定义密码强度规则   12.10 帐户锁定   12.11 实现自动解锁   12.12 支持动态应用程序   12.13 通过IIS 7.0管理应用程序的用户   12.14 本章小结 第13章 ActiveDirectoryMembershipProvider   13.1 ActiveDirectoryMembershipProvider支持的目录架构   13.2 提供程序配置   13.3 提供程序功能的独特方面   13.4 ActiveDirectoryMembershipUser   13.5 使用Active Directory   13.6 使用ADLDS   13.7 在部分信任条件下使用提供程序   13.8 本章小结 第14章 角色管理器   14.1 Roles类   14.2 RolePrincipal类   14.3 RoleManagerModule模块   14.4 RoleProvider   14.5 WindowsTokenRoleProvider   14.6 本章小结 第15章 SqlRoleProvider   15.1 SqlRoleProvider数据库架构   15.2 提供程序的安全   15.3 使用Windows身份验证   15.4 基于受限的角色集运行   15.5 在数据层使用角色进行授权   15.6 支持动态应用程序   15.7 通过IIS 7.0管理应用程序的角色   15.8 本章小结 第16章 AuthorizationStoreRoleProvider   16.1 提供程序设计   16.2 支持的功能   16.3 使用基于文件的策略存储   16.4 使用基于目录的策略存储   16.5 使用基于Microsoft SQL Server数据库的策略存储   16.6 在部分信任环境下工作   16.7 同时使用成员资格和角色管理   16.8 本章小结 第17章 ASP.NETAJAX3.5中的成员资格和角色管理   17.1 ASP.NET成员资格和角色服务概述   17.2 ASP.NET AJAX应用程序服务   17.3 本章小结 第18章 保证ASP.NET Web应用程序安全的最佳实践   18.1 Web应用程序安全威胁概述   18.2 开发人员的注意事项   18.3 启用了AJAX的应用程序的安全性   18.4 本章小结

章节摘录

插图：IIS 7.0由多个组件构成，这些组件构成了Web服务器的内部核心引擎。这些组件包括协议侦听器、服务（如w3svc服务和WAS服务）、协议适配器，以及其他核心组件。本节将概要介绍IIS 7.0内部用于处理请求的某些协议和服务。1.3.1 协议侦听器协议侦听器是一些服务，这些服务被配置为侦听并处理特定的协议请求，这些请求来自Web服务器所属的网络。例如，安装在一台Windows计算机上的其中一个侦听器专门侦听发往此计算机的Web请求。当然，还有一些侦听器是专门用于侦听其他不同协议的。如果侦听器收到了一个请求，那么将会把这个请求转发给IIS 7.0，由IIS 7.0处理这个请求。IIS 7.0结束处理请求之后，将把生成的响应回送给转发这个请求的侦听器，最后将响应传送给请求者。例如，HTTP侦听器就是一个协议侦听器，这个侦听器也称为超文本协议栈（Hypei TextProtocol Stack）。对于发往Windows计算机的所有HTTP请求而言，这个侦听器最为重要。当Windows Vista或Windows Server 2008首次收到一个HTTP请求时，最初的处理工作实际上是由内核模式（kernel-mode）的HTTP驱动程序http sys完成的。

编辑推荐

《开发安全可靠的ASP.NET 3.5应用程序:涵盖C#和VB.NET》由清华大学出版社出版。

图书封面

图书标签Tags

无

评论、评分、阅读与下载

---

    开发安全可靠的ASP.NET 3.5应用程序 PDF格式下载

---