Комментарии 7
А про что статья?
Вот кратко про что эта статья:
Статья посвящена безопасности веб-приложений на ASP.NET. Автор рассказывает о различных аспектах безопасности, таких как аутентификация, авторизация, защита данных, межсайтовый скриптинг (XSS), межсайтовая подделка запросов (CSRF) и заголовки безопасности. Он объясняет основные концепции и термины, связанные с каждым аспектом, и дает примеры кода и настроек для реализации безопасных решений, а также дает рекомендации по лучшим практикам и инструментам для проверки и улучшения безопасности веб-приложений на ASP.NET.
Аутентификация в ASP.NET приложениях обычно реализуется или с помощью аутентификации Windows или с помощью форм.
Ощущение, что откопали где-то статью по WinForms или WPF, поменяли везде по тексту на ASP.NET, а к словам приложение добавили приставку веб-приложения. Иначе просто объяснений содержимому статьи нет.
Asp.net core Identity, JWT, Bearer token - ожидал разбор чего угодно из этого, но нет. Вся статья - набор бессвязных предложений, подводка к банальной вещи о необходимости добавления токена, защищающего от XSRF атак.
Ощущение что просто откопали для перевода статью двадцатилетней давности.
Обратите внимание, статья-то про ASP.NET WebForms, которые устарели в момент выхода ASP.NET MVC, которая устарела с выходом ASP.NET Core…
Во времена WebForms все эти JWT и Bearer token широко известны не были.
И код с ошибкой ...
Ключ литерал.
if (Request.Cookies["ASP.NET_SessionId"] != null && Request.Cookies["ASP.NET_SessionId"].Value != null)
{
string newSessionID = Request.Cookies["ASP.NET_SessionID"].Value;
Когда речь идёт про безопасность, то сразу вспоминается ещё не принятый стандарт OAuth 2.1 или OIDC, который, исходя из моих знаний, реализует его на 99%, а может и на все 100%.
Там даже можно найти реализацию с HttpOnly cookie и BFF.
Безопасность ASP.NET