123,123

內(nèi)容簡(jiǎn)介

　　本書(shū)全面介紹ASP．NET 2．0和ASP．NET 3．5安全主題。它首先介紹信任級(jí)別、表單身份驗(yàn)證、會(huì)話(huà)狀態(tài)、網(wǎng)頁(yè)安全和配置系統(tǒng)安全等概念，然后討論成員資格和角色管理器以及集成AJAX 3．5和ASP．NET 3．5安全的方法，并在最后陳述ASP．N．ET開(kāi)發(fā)人員應(yīng)該遵循的最佳開(kāi)發(fā)實(shí)踐。為了編寫(xiě)無(wú)懈可擊的ASP．NET應(yīng)用程序，開(kāi)發(fā)人員必須深入了解Web安全、部分信任環(huán)境中的開(kāi)發(fā)、表單身份驗(yàn)證、確保配置安全以及其他許多必需的ASP．NET安全概念。這本面向ASP．NET開(kāi)發(fā)人員的精品書(shū)籍詳細(xì)描述Web應(yīng)用程序開(kāi)發(fā)過(guò)程中涉及的每個(gè)重要安全領(lǐng)域，介紹普通ASP．NET安全知識(shí)，還討論了ASP．NET 3．5的新增功能和改進(jìn)功能?！堕_(kāi)發(fā)安全可靠的ASP．NET 3．5應(yīng)用程序——涵蓋C#和VB．NET》濃墨重彩地介紹IIS 7．0的重要安全功能和新功能，詳細(xì)討論請(qǐng)求生命周期，透徹解釋AJAX身份驗(yàn)證和授權(quán)，深入分析ASP．NET會(huì)話(huà)狀態(tài)、成員資格及角色管理，為您使用C#或VB語(yǔ)言開(kāi)發(fā)安全可靠的ASP．NET 3．5網(wǎng)站奠定堅(jiān)實(shí)基礎(chǔ)。主要內(nèi)容◆開(kāi)發(fā)安全ASP．NET應(yīng)用程序（包括防范AJAX威脅）的最佳實(shí)踐◆如何安全讀寫(xiě)ASP．NET配置文件◆集成ASP．NET和經(jīng)典ASP安全的技術(shù)◆開(kāi)發(fā)階段和托管階段的各種ASP．NET信任級(jí)別◆各種ASENET模塊處理請(qǐng)求時(shí)的相關(guān)安全上下文◆表單身份驗(yàn)證和會(huì)話(huà)狀態(tài)的安全功能◆如何結(jié)合使用ActiveDirectory與成員資格和角色管理器功能讀者對(duì)象本書(shū)主要面向使用C#或VB語(yǔ)言開(kāi)發(fā)ASP．NET Web應(yīng)用程序的有經(jīng)驗(yàn)的ASP．NET開(kāi)發(fā)人員。

作者簡(jiǎn)介

　　Bilal Haidar畢業(yè)于黎巴嫩美國(guó)大學(xué)，擁有計(jì)算機(jī)工程工學(xué)學(xué)士學(xué)位和計(jì)算機(jī)科學(xué)理學(xué)學(xué)士學(xué)位。Bilal在www．a(chǎn)spalliance．com、www．code-magazrne．com和www．a(chǎn)spnetpro．com等網(wǎng)站發(fā)表了多篇論文，是ASP．NET論壇聲譽(yù)卓著的最佳作者之一。Bilal從2004年開(kāi)始成為Microsoft ASP．NET領(lǐng)域的MVP，并榮獲微軟認(rèn)證培訓(xùn)師資格。Bil8，目前擔(dān)任Consolidated Contractors公司的高級(jí)開(kāi)發(fā)人員。Bilal的個(gè)人博客是http：／／www．bhaider．net，他在此與大眾交流極富價(jià)值的技術(shù)經(jīng)驗(yàn)。

圖書(shū)目錄

第1章 IIS7.0介紹
1.1 IIS7.0概述
1.1.1 模塊化架構(gòu)
1.1.2 部署和配置管理
1.1.3 改進(jìn)的管理方式
1.1.4 ASP.NET集成
1.1.5 安全性改進(jìn)
1.1.6 對(duì)故障排除的改進(jìn)
1.2 應(yīng)用程序池
1.2.1 Integrated模式
1.2.2 Classic模式
1.3 IIS7.0組件
1.3.1 協(xié)議偵聽(tīng)器
1.3.2 萬(wàn)維網(wǎng)發(fā)布服務(wù)
1.3.3 Windows進(jìn)程激活服務(wù)
1.4 IIS7.0模塊
1.4.1 非托管模塊
1.4.2 托管模塊
1.5 本章小結(jié)
第2章 IIS7.0和ASP.NET的Integrated模式
2.1 IIS7.0和ASENE／的Integrated模式的優(yōu)點(diǎn)
2.2 IIS7.0新增的Integrated模式的架構(gòu)
2.2.1 system.webServer配置節(jié)組
2.2.2 將ASP.NET應(yīng)用程序遷移到Integrated模式
2.2.3 使用托管處理程序和托管模塊擴(kuò)展IIS7.0
2.3 本章小結(jié)
第3章 IIS7.0的Integrated模式中的HTTP請(qǐng)求處理
3.1 內(nèi)置的IUSR帳戶(hù)和IISIUSRS組
3.2 在Integrated模式中針對(duì)每個(gè)請(qǐng)求的安全控制
3.2.1 請(qǐng)求的安全標(biāo)識(shí)的保存位置
3.2.2 建立操作系統(tǒng)線(xiàn)程標(biāo)識(shí)
3.3 統(tǒng)一的處理管道
3.3.1 線(xiàn)程標(biāo)識(shí)和異步管道事件
3.3.2 Authenticate Request
3.3.3 Default Authentication和Thread Current Principal
3.3.4 PostAuthenticateRequest
3.3.5 AuthorizeRequest
3.3.6 通過(guò)Pre Request Handler Execute執(zhí)行的Post Authorize Request
3.3.7 在IIS一級(jí)阻塞請(qǐng)求
3.3.8 異步頁(yè)面執(zhí)行過(guò)程中的標(biāo)識(shí)
3.3.9 EndRequest
3.4 本章小結(jié)
第4章信任問(wèn)題
4.1 ASP.NET信任級(jí)別的含義
4.1.1 配置信任級(jí)別
4.1.2 信任級(jí)別分析
4.1.3 從實(shí)用的角度再看信任級(jí)別
4.1.4 創(chuàng)建自定義信任級(jí)別
4.1.5 其他信任級(jí)別定制
4.1.6 在中等信任級(jí)別或部分信任ASP.NE了應(yīng)用程序中使用LINQ
4.1.7 ASP.NET定義的默認(rèn)安全權(quán)限
4.1.8 有關(guān)部分信任的高級(jí)主題
4.2 本章小結(jié)
第5章配置系統(tǒng)的安全
5.1 使用元素
5.1.1 Path屬性
5.1.2 allowOverride屬性
5.2 使用10ckAttnbutes
5.2.1 鎖定配置屬性
5.2.2 鎖定元素
5.2.3 鎖定提供程序的定義
5.3 管理IIS7.0配置與管理ASP.NET配置
5.4 使用托管模塊和托管處理程序擴(kuò)展IIS7.0
5.5 管理本機(jī)配置系統(tǒng)與管理托管配置系統(tǒng)
5.6 IIS7.0功能委托
5.7 讀寫(xiě)配置
5.7.1 讀取本地配置所需的權(quán)限
5.7.2 寫(xiě)入本地配置所需的權(quán)限
5.7.3 進(jìn)行遠(yuǎn)程編輯所需的權(quán)限
5.8 部分信任級(jí)別的配置
5.8.1 requirePermission屬性
5.8.2 利用配置類(lèi)要求權(quán)限
5.8.3 FilelOPermission和設(shè)計(jì)時(shí)API
5.9 受保護(hù)配置
5.9.1 保護(hù)范圍
5.9.2 選擇受保護(hù)的配置提供程序
5.9.3 定義受保護(hù)配置提供程序
5.9.4 Dpapi Protected Configuration Provider，
5.9.5 Rsa Protected Configuration Provider
5.9.6 aspnetregiis選項(xiàng)
5.9.7 在部分信任應(yīng)用程序中使用受保護(hù)配置提供程序
5.9.8 使用自定義提供程序?qū)ε渲眠M(jìn)行重定向
5.10 本章小結(jié)
第6章表單身份驗(yàn)證
6.1 快速回顧表單身份驗(yàn)證
6.2 了解持久性票證
6.3 動(dòng)態(tài)地保證票證的安全
6.3.1 簽名票證的安全程度
6.3.2 ASP.NET2.0和ASP.NET3.5 提供的加密選項(xiàng)
6.4 設(shè)置特定于Cookie的安全選項(xiàng)
6.4.1 requireSSI
6.4.2 Http Only Cookies
6.4.3 slidingExpiration
6.5 使用無(wú)Cookie的表單身份驗(yàn)證
6.5.1 無(wú)Cookie選項(xiàng)
6.5.2 使用無(wú)Cookie票證進(jìn)行重播攻擊
6.5.3 頁(yè)面中的無(wú)Cookie票證和其他URL
6.5.4 使用無(wú)Cookie票證情況下的負(fù)載的規(guī)模
6.5.5 預(yù)期外的重定向行為
6.6 在IIS7.0中配置表單身份驗(yàn)證
6.7 在AsPNET1.12.0和3.5 之間共享票證
6.8 針對(duì)不同的內(nèi)容類(lèi)型使用表單身份驗(yàn)證
6.9 利用UserData屬性
6.10 在應(yīng)用程序之間傳遞票證
6.10.1 Cooke域
6.10.2 跨應(yīng)用程序共享票證
6.11 強(qiáng)制性的單一登錄和退出
6.11.1 強(qiáng)制性的單一登錄
6.11.2 強(qiáng)制性退出
6.12 本章小結(jié)
第7章將ASP.NET安全與ClassicASP進(jìn)行集成
7.1 IIS5ISAPI擴(kuò)展的行為
7.2 IIS7.0通配符映射
7.2.1 配置通配符映射
7.2.2 資源類(lèi)型設(shè)置
7.3 Default Http Handler
7.4 使用Default Http Handler
7.5 在IIS7.0Integrated模式中為Classic.ASP提供服務(wù)
7.6 使用ASP.NET.對(duì)ClassicASP進(jìn)行身份驗(yàn)證
7.6.1 了解無(wú)Cookie的表單身份驗(yàn)證是否能夠正常工作
7.6.2 將數(shù)據(jù)從ASP.NET傳遞給ASP
7.6.3 將用戶(hù)名傳遞給ASP
7.7 使用IIS7.0的Integrated模式對(duì)ClassicASP進(jìn)行身份驗(yàn)證
7.8 使用ASENET對(duì)ClassicASP進(jìn)行授權(quán)
7.8.1 將用戶(hù)角色傳遞給ClassicASF
7.8.2 將敏感數(shù)據(jù)安全地傳遞給ClassicASF
7.8.3 散列Helper類(lèi)的完整代碼列表
7.9 使用IIS7.0Integrated模式對(duì)ClassicASP進(jìn)行授權(quán)
7.10 本章小結(jié)
第8章會(huì)話(huà)狀態(tài)
8.1 比較會(huì)話(huà)狀態(tài)與登錄會(huì)話(huà)
8.2 會(huì)話(huà)數(shù)據(jù)劃分
8.3 基于Cookie的會(huì)話(huà)
8.3.1 在不同應(yīng)用程序之間共享Cookie
8.3.2 保護(hù)會(huì)話(huà)Cookie
8.3.3 會(huì)話(huà)ID重用
8.4 無(wú)Cookie會(huì)話(huà)
8.5 在IIS.7.0內(nèi)部配置會(huì)話(huà)
8.6 在IIS7.0Integrated模式下運(yùn)行的應(yīng)用程序的會(huì)話(huà)狀態(tài)
8.7 會(huì)話(huà)ID重用和過(guò)期的會(huì)話(huà)
8.8 會(huì)話(huà)ID拒絕服務(wù)攻擊
8.9 信任級(jí)別和會(huì)話(huà)狀態(tài)
8.10 SQL會(huì)話(huà)狀態(tài)數(shù)據(jù)庫(kù)的安全
8.11 OOP狀態(tài)服務(wù)器的安全選項(xiàng)
8.12 本章小結(jié)
第9章頁(yè)面安全和編譯安全
9.1 請(qǐng)求驗(yàn)證和視圖狀態(tài)保護(hù)
9.1.1 請(qǐng)求驗(yàn)證
9.1.2 保護(hù)視圖狀態(tài)的安全
9.2 頁(yè)面編譯
9.3 欺騙性的回發(fā)
9.4 站點(diǎn)導(dǎo)航的安全性
9.5 本章小結(jié)
第10章提供程序模型
10.1 使用提供程序的原因
10.2 提供程序模型使用的模式
10.2.1 策略模式
10.2.2 工廠(chǎng)方法
10.2.3 單件模式
10.2.4 外觀(guān)模式
10.3 核心提供程序類(lèi)
……
第11章成員資格
第12章 Sql Membership Provider
第13章 Active Directory Membership Provider
第14章角色管理器
第15章 SqlRoleProvider
第16章 Authorization Store Role Provider
第17章 ASP．NETAJAX3．5中的成員資格和角色管理
第18章保證ASP．NETWeb應(yīng)用程序安全的最佳實(shí)踐