VN DEV PRO

Ngăn chặn XSS trong ASP.NET

Mon, 19 Oct 2015 00:00:00 +0000

Làm thế nào để ngăn chặn XSS attack trong ứng dụng trên nền tảng ASP.NET ? ASP.NET cung cấp sẵn những khả năng này và chúng ta có thể tùy biến nó theo yêu cầu của ứng dụng. Bài viết này giới thiệu các steps đảm bảo input từ người dùng là an toàn cho ứng dụng.

Giao diện nhập cơ bản

Trong form này có 2 trường cơ bản, một trường Message cho phép nhập freetext, và một trường số. Khi Message không chứa mã HTML, form như sau:

Nhập Message có mã HTML

Giả sử yêu cầu của ứng dụng là cho phép user nhập “rich text”, ví dụ:

ASP.NET kiểm tra dữ nhiệu submit lên server và blocks request

Tùy biến để cho phép server chấp nhận rich text HTML

Có 2 lựa chọn cho phép làm việc này: sử dụng attribute AllowHtml hoặc ValidationInput, nhưng lựa chọn #2 sẽ turn-off validation trên server. Vì vậy nên lựa chọn AllowHtml trong nhiều trường hợp có hiệu quả hơn. (xem thay đổi)

[AllowHtml]
public string Message { get; set; }

Kết quả sẽ là

Khả năng bị tấn công XSS

Việc cho phép mã JavaScript được nhập vào ứng dụng có nguy cơ bị tấn công XSS.

Trên Chrome V45, trình duyệt hiểu và ngăn chặn được nguy cơ này.

Nhưng trên các trình duyệt khác thì không. Hơn nữa ứng dụng phía server cần xử lý được rủi ro này

Xử lý trên server

Solution 1

Việc xử lý thực hiện trên từng trường dữ liệu có nguy cơ bị XSS

Cài Package AntiXSS vào ứng dụng
Gọi function xử lý trường nhập dữ liệu chứa mã HTML, các thẻ HTML không an toàn sẽ bị loại bỏ. (xem thay đổi)

var safeHtml = Sanitizer.GetSafeHtmlFragment(item.Message);

Solution 2

Xử lý một cách tự động thông qua một ModelBinder

Cài package RabbitWebMvc vào ứng dụng
Sử dụng DefaultBinder là SafeHtmlModelBinder

ModelBinders.Binders.DefaultBinder = new SafeHtmlModelBinder();

References

Domain Driven Design - resources?

Thu, 13 Aug 2015 00:00:00 +0000

Bài viết này sẽ chia sẻ thông tin các bài viết về DDD, các bạn nên xem phản hồi của cá nhân mình để tham khảo lựa chọn nên đọc bài viết / sách nào trước.

##1. Modeling Aggregates with DDD and Entity Framework

Bài viết có chứa nhiều links khác nêu chi tiết về mỗi định nghĩa, quy tắc khi thiết kế theo DDD.

References

Tại sao nên sử dụng CDN?

Thu, 06 Aug 2015 00:00:00 +0000

Tăng tốc độ load của page, giảm tải & băng thông cho server, giảm số concurrent reuqests đến server là một số benifits của việc dùng CDN cho script, css, image…

##Lợi ích khi sử dụng CDN

Tăng tốc độ load của page, vì CDN được sử dụng bởi nhiều website nên có thể browser đã cache file và không phải tải lại.
Giảm tải & băng thông cho server của ứng dụng.
Giảm số concurrent reuqests đến server, trình duyệt giới hạn số kết nối đồng thời đến một hostname là 6 hoặc 7, request khác được xử lý nhanh hơn.

##Coding với ASP.NET MVC

Khi add thêm một bundle, thêm url của CDN và ASP.NET Bundle sẽ sử dụng url này để reference khi website được config sang chế độ production (

References

http://www.asp.net/ajax/cdn
http://www.dotnetjalps.com/2014/07/cdn-in-aspnet-mvc-bundling.html
http://www.hanselman.com/blog/CDNsFailButYourScriptsDontHaveToFallbackFromCDNToLocalJQuery.aspx

Xóa files / folders trên windows một cách nhanh nhất

Mon, 03 Aug 2015 00:00:00 +0000

Trong trường hợp cần xóa nhiều folder theo một pattern nào đó, với cấu trúc folder phức tạp, có thể dùng cách sau để xóa nhanh.

D:\Build>for /d /r . %d in (bin\release) do @if exist "%d" rd /s/q "%d"

Tham số bin\release : pattern của thư mục cần xóa.
Dấu . sau /d /r : thư mục hiện tại.

References

A question on SO

Cú pháp Markdown / HTML & ví dụ

Thu, 30 Jul 2015 00:00:00 +0000

Một số cú pháp cơ bản của markdown: tạo list, format chữ, chèn ảnh…

VN DEV PRO

Ngăn chặn XSS trong ASP.NET

Giao diện nhập cơ bản

Nhập Message có mã HTML

Tùy biến để cho phép server chấp nhận rich text HTML

Khả năng bị tấn công XSS

Xử lý trên server

Solution 1

Solution 2

References

Domain Driven Design - resources?

References

Tại sao nên sử dụng CDN?

References

Xóa files / folders trên windows một cách nhanh nhất

References

Cú pháp Markdown / HTML & ví dụ

Hiển thị một danh sách

Format chữ

Tạo hyperlink

Tạo blockquote

Tạo ảnh & link

References