Je prévois de travailler sur un nouveau projet et je suis maintenant tenté d'utiliser ASP.NET MVC. Mon projet prévoit d'utiliser JQuery et AJAX (bien que les clients non-JS soient également supportés). Venant d'un arrière-plan ASP.NET standard, j'essaie toujours de comprendre le paradigme MVC (avec beaucoup d'aide de Scott Guthrie). Cependant, ma principale préoccupation avec l'utilisation de MVC est les aspects de sécurité. J'ai fait pas mal de sécurité avec ASP.NET et je sais gérer différents vecteurs d'attaque. Aurai-je besoin de réapprendre la sécurité avec ASP.NET MVC? Y a-t-il de nouvelles menaces, ou même de nouvelles façons de gérer les vieilles menaces, sur lesquelles je devrai lire? J'ai commandé quelques livres ASP.NET MVC (qui ont des chapitres sur la sécurité), mais j'aimerais connaître l'expérience de quelqu'un d'autre à ce sujet.Nouveau sur ASP.NET MVC - Devrai-je réapprendre la sécurité?
Merci
Merci, cela rend beaucoup plus facile de surmonter la courbe d'apprentissage. D'un autre côté, si j'utilise 'UpdateModel()', est-ce qu'il HTMLEncode automatiquement mes données? Je comprends que je dois le faire manuellement lors du passage des objets du modèle, mais je ne sais pas trop quoi faire lors de l'utilisation de UpdateModel. Merci encore. – keyboardP
@TenaciousImpy: Vous n'avez besoin de vous soucier que de l'encodage/de l'échappement à la sortie, lorsque les données que vous présentez proviennent d'une source non fiable. À quelques exceptions près, il n'est pas vraiment nécessaire d'assainir ce qui arrive (je suppose que vous paramétrez vos requêtes SQL et tout ça). Mais pour répondre à votre question exacte, non, 'UpdateModel' ne code pas vos données HTML, parce que vous l'auriez encodé deux fois avant qu'il ne soit affiché et que les visiteurs de votre site verront des étranges' > 'au milieu des mots . – Aaronaught
Avec ASP.NET MVC 2, '<%: Model.SomeString%>' code automatiquement le texte pour vous. Notez le ':' au lieu de '='. – Omar