Protezione di ASP.net web API (REST) [chiuso]

Le JWT sono un buon modo per avvicinarsi a questo. I miei due centesimi consistono nel disinfettare tutti gli input dell'utente sul lato client (riduce l'area di superficie per gli attacchi XSS) e utilizzare i cookie come mezzo per trasportare il token tra client e server. Imposta i tempi di scadenza del token in qualcosa in cui, anche se viene rubato, non sarà utile a lungo. Puoi consultare i trucchi di prevenzione XSS che forniranno ulteriori informazioni sulla prevenzione dell'XSS. Infine, se si tratta di un'app a livello di produzione, è necessario sottoporla a penne o sottoporre a scansione uno strumento come Mozilla Observatory . Spero che questo aiuti.

Dovresti utilizzare le nuove tecnologie .NET Core di Microsoft. Quindi hai attributi da ASP.NET Core Identity. Nel tuo controller, ad esempio, devi solo scrivere un attributo [HTTPS] prima per la crittografia, ecc ... Dai un'occhiata al REST-API di David Roth che protegge Video con .NET Core, penso Canale 9.

Dovresti usarlo perché Microsoft vuole riavviare le loro tecnologie web. Nuovo Entity Framework Core invece di ADO.NET, nuovi meccanismi di routing (con attributi), modello di strategia di iniezione delle dipendenze per impostazione predefinita, compatibilità multipiattaforma nelle app, possibilità di eseguire mano nella mano con la finestra mobile (Microservices che viene eseguito in contenitori di finestra mobile separati ) e, e, e ... per farla breve: dai un'occhiata a .NET Core e .NET Core Identity per proteggere l'API.

E nel 2019 con .NET Core versione 3 arriva anche una GUI. WinForms e persino WPF. Tristemente non c'è fino ad ora qualcosa di simile a "generale XAML", ma Microsoft sta esattamente lavorando su questo.