ASP.NET网络安全简单防护公开课

　　今天下午看了一下itcast的公开课，2010年10月28号，虽然很早了，但是才下载下来看。以前看完了itcast的所有免费视频教程，2010年版的13季，2011年版的ASP.NET!=拖控件系列，收获了很多，在此很感谢itcast提供的免费视频。也曾打算过去北京实地培训，拜师杨中科老师，但1万5的费用（学费+吃住等开销，至少1万5吧）暂时还承受不住。于是只有多利用点免费资源，多去51aspx网下点项目来观摩并实践来满足自己的学习。

　　今天看的这期是关于ASP.NET的网络安全简单防范的，做了如下学习笔记（要点）：
　　1.SQL注入式漏洞攻击：万能密码：‘0‘ or ‘1=1‘
　　2.XSS跨站脚本攻击：ASP.NET默认就拦截了潜在的XSS，如需使用编辑器需要设定ValidateRequest=false
　　3.客户端校验不可信原则：有可能客户端禁用了JavaScript
　　4.投票、重复点击、Cookie、不需要Ajax可以刷：判断报文请求的RequestType或者UrlReferer
　　5.防止暴力破解与机器人发帖：验证码、错误N次便锁定账户1小时等等方法
　　6.敏感词过滤：设置禁用词、审核此、替换词等，审核词普通用户看不到，只有管理员才能看，管理员确认不会造成安全问题的帖子才审核通过，否则不能通过。techs：缓存、正则表达式
　　7.MD5加密算法：不可逆算法，无法进行反向计算，保证系统安全；
　　8.IIS安全配置：（1）文件权限设置：禁止用户上传含有恶意代码的文件，例如xxx.aspx等；（2）禁止目录浏览；

　   其中好几条都是在免费的2010版视频中提到过的，其他的也是简单地一带而过，不过免费公开课视频嘛，就不能要求太多了哈。毕竟itcast能放出这么多视频就已经很不错了，而且还确实是在凭良心挣钱（这里不经意间觉得在给itcast打广告了，就算是给它打广告吧，谁叫它确实讲得很好呢。）有机会的话，真的想去北京实地培训，去见见久仰大名的老杨，还有皱华栋老师，本来还有张孝祥老师，但张老师英年早逝，哀哉哀哉，为中华软件之崛起而讲课的重任留给了黎活明和老杨等人了，希望.NET的名声能在正确的老师正确的方法正确的案例的教育下越来越好，不再被某些语言的程序员所看不起，也希望自己能做一个合格的.NET程序员！！

原文：http://www.cnblogs.com/luozhijun/p/6891603.html