نوشته‌شده در

امنیت جی کوئری آژاکس در asp.net تماس می گیرد

من می خواهم یک سوال کوچکی در مورد ajax jquery در asp.net بپرسم و این زمانی است که ما با ajax تماس می گیریم که در انتهای سرویس باز است و آن را مانند یک جذابیت کار می کند اما مشکل این است که آیا امنیت وبسایت داریم یا خیر تکنیک برای برقراری تماس آژاکس امن است تا هکر نتواند به سایت حمله کند

نوشته‌شده در

asp.net – بدون سرنخ چه این بدان معنی است [FormatException: Input string was not in a correct format.]

 خطای سرور در '/' برنامه.

رشته ی ورودی در یک قالب صحیح نبود.

توضیحات: در زمان اجرای درخواست فعلی، یک استثناء غیرمجاز رخ داده است. لطفا اطلاعات ردیابی پشته را برای اطلاعات بیشتر در مورد خطا و جایی که در کد آن ایجاد شده است، مرور کنید.

Exception Details: System.FormatException: رشته ورودی در فرمت صحیح نبود.

خطا منبع:

یک استثناء غیرقانونی در طول اجرای درخواست فعلی ایجاد شد. اطلاعات مربوط به مبدا و محل استثنا را می توان با استفاده از رد پشته استثنائی زیر مشخص کرد.
پشته ردیابی:

[FormatException: Input string was not in a correct format.] OVCPub.Topic.Page_Load (فرستنده شی، EventArgs e) +9520 System.Web.Util.CalliEventHandlerDelegateProxy.Callback (فرستنده شیء، EventArgs e) +51 System.Web.UI.Control.OnLoad (EventArgs e) +92 System.Web.UI.Control.LoadRecursive () +54 System.Web.UI.Page.ProcessRequestMain (شامل Boolean includeStagesBeforeAsyncPoint، Boolean includeStagesAfterAsyncPoint) +772
اطلاعات نسخه: Microsoft .NET Framework نسخه: 4.0.30319؛ ASP.NET نسخه: 4.0.30319.36430

نوشته‌شده در

Asp.Net Web API استفاده صحيح از فدراسيون WS براي برنامه وب

امیدوارم این یک نسخه کامل نیست. من خواندن مقالات و فقط نمی تواند به طور کامل سر خود را در اطراف این بسته. بسیاری از مقالات به نظر می رسد که نظرات مختلفی دارند.

من یک برنامه وب (Spacing + Backend Web Api) ساختم. در حال حاضر یک راه اندازی IDP (SSO) وجود دارد که من برای شناسایی / ادعاها و یک توالی راه انداز مسیریابی را جستجو می کنم. من از یک حافظه پنهانی در سرور استفاده می کنم تا ادعاهای کاربر وارد شده را ثبت کند و تنها GUID را در کوکی client اجرا کند. Spa نیاز به استفاده از نشانه بوت استرپ (من معتقدم که این SAML 1.0 یا 1.1 است) به سرویس های دیگر برای دسترسی به منابع است، بنابراین من یک ردگیر HTTP را برای اضافه کردن آن نشانه زمانی که لازم است.

حالا، پس از خواندن برخی از مقالات من به سختی می دانم که بهترین روش برای محافظت از برنامه وب با WS-Fed چیست.

آیا من نیاز به استفاده از کوکی ها را دارم، یا می توانم از استفاده از Token برای تأیید اعتبار در back-end خود استفاده کنم؟ من واقعا هیچ ادعایی خاصی ندارم که نیاز به بررسی داشته باشم و تا زمانی که کاربر به سیستم SSO وارد شود و دارای یک نشانه ای باشد که قبلا می تواند بسیاری از خدمات دیگر را تحت تاثیر قرار دهد.

آیا نشانه ذخیره در Spa unsafe است؟ به نظر می رسد که حتی با حفاظت ضد جعل می شود.

کوکی هایی که من استفاده می کنم به نظر می رسد "کوکی های جلسه"، اما همه چیز به طوری انتزاعی است که من حتی نمی توانم بگویم که اگر من استفاده منظم کوکی یا یک کوکی جلسه. چگونه می توانم بگویم؟

آیا تا به حال باید برچسب SAML را به هدر های سرور اضافه کنم؟ من دیگر خدمات دیده ام این کار را انجام می دهم، اما اگر در یک جلسه حضور داشته باشیم، حساس نیستیم.

هر کس که صحبت کنم به نظر می رسد فقط کاری را انجام دهد که دیگران انجام می دهند و واقعا اهداف همه چيز. من می خواهم از آن بگذرم.

بنابراین، عملیات من در حال حاضر است:

  1. کاربر URL من را می بیند. قبل از استفاده از فایل های اسپا، او از طریق SSO هدایت می شود، ادعا می کند / بلیط در سرور قفل شده است.
  2. محدودیت زمانی در ادعا / بلیط بلیط ذخیره شده است.
  3. Spa بعد از ورود به سرویس گیرنده خدمت می شود
  4. یک GUID نماینده یک بلیط ذخیره شده به عنوان یک کوکی به مشتری منتقل می شود.
  5. مشتری درخواست SAML (bootstrap) token را ذخیره می کند و آن را در یک حافظه پنهان در مشتری ذخیره می کند.
  6. مشتری در هنگام صحبت کردن تنها از GUID در هدر استفاده می کند سرور من و با استفاده از نشانه SAML / bootstrap هنگام صحبت کردن با سرویس های دیگر.
  7. زمانی که محدودیت زمانی بر روی بلیط ذخیره شده سرور ذخیره می شود، سرور درخواست ها را از IDP درخواست می کند و اگر کاربر ناموفق باشد، کاربر را مجددا مجددا راه اندازی می کند. (آیا باید از Spas انجام شود تا سرور مجبور نشود)؟