Erste Schritte mit ASP.NET Web Forms

Das Web Forms Modell und das Erstellen von Seiten und die Verwendung von Steuerelementen.

• Erste Schritte mit ASP.NET 4.5 Web Forms und Visual Studio 2013

  • Erste Schritte mit Web Forms und Visual Studio
  • Erstellen des Projekts
  • Erstellen der Datenzugriffsschicht
  • Benutzeroberfläche und Navigation
  • Anzeigen von Datenelementen und Details
  • Warenkorb
  • Bezahlvorgang und Zahlung mit PayPal
  • Mitgliedschaft und Verwaltung
  • URL-Routing
  • ASP.NET – Fehlerbehandlung

• Erstellen einer einfachen Web Forms-Seite in Visual Studio 2013

• Codebearbeitung in ASP.NET Web Forms in Visual Studio 2013

• Verwenden der Seitenprüfung für Visual Studio 2012 in ASP.NET Web Forms

• Visual Studio 2012 – Praxisnahe Übungen

  • Neue Funktionen für die Webentwicklung mit ASP.NET und Visual Studio 2012
  • Neue Funktionen in Web Forms in ASP.NET 4.5
  • Verwenden der Seitenprüfung in Visual Studio 2012

Warum werden externe Ressourcen auf meiner Seite in der Web Live Preview blockiert?

Wenn Sie über externe Ressourcen aus einer Domäne eines Drittanbieters verfügen, die sich auf Ihrer Seite befinden, stellen Sie möglicherweise fest, dass der Designer in Web Live Preview das Laden verhindert hat, und zeigt folgendes Popup an:

Sie fragen sich möglicherweise, warum das Laden der Ressourcen im Designer blockiert wurde und warum das Popup angezeigt wird. In diesem Artikel wird erläutert, warum Ressourcen blockiert wurden.

Übersicht über Web Live Preview und BrowserLink

Web Live Preview (WLP) ist eine Visual Studio-Erweiterung, die auf BrowserLink basiert. WLP verwendet BrowserLink, um einen Kanal für die bidirektionale Kommunikation zwischen Visual Studio und dem Designer bereitzustellen. Diese bidirektionale Kommunikation ermöglicht es WLP, viele Funktionen bereitzustellen:

• Synchronisieren des Inhalts und des aktuell ausgewählten Knotens im Designer mit dem des Editors.
• Pushen neuer Inhalte, die vom Designer erstellt wurden, in den Editor.
• Ausführen von Befehlen des Aktionsbereichs.

Potenzielle Sicherheitsrisiken mit Web Live Preview und BrowserLink

Wenn Sie Skripts oder Ressourcen eines Drittanbieters in Ihre Webseite einfügen, kann dies zu einer potenziellen Sicherheitslücke führen, indem Sie WLP und BrowserLink verwenden, um einen Cross-Site Scripting-Angriff (XSS) durchzuführen.

Wenn eine Drittanbieterressource schädlichen Code in die Website einfügen kann, kann der Code das in den Designer eingefügte Browserlink-Skript verwenden, um Rückrufe an Visual Studio zu tätigen. Das eingefügte Skript könnte es dem Code ermöglichen, beliebige Inhalte in Dateien zu schreiben, die in Visual Studio geöffnet sind, oder andere Angriffsvektoren zu öffnen.

Derzeit gibt es keine gute Möglichkeit, Angreifer daran zu hindern, über das BrowserLink-Skript wieder mit Visual Studio zu kommunizieren.

Entschärfung von Sicherheitsrisiken

So weit wie möglich haben wir die Sicherheitsrisiken aus der Kommunikation über das BrowserLink-Skript zurück zu Visual Studio eingeschränkt und behoben. Einige Angriffe können jedoch weiterhin durch einen XSS-Angriff ermöglicht werden.

Um die Möglichkeit eines solchen XSS-Angriffs zu verringern, blockiert WLP standardmäßig das Laden aller externen Ressourcen. Wenn eine externe Ressource blockiert ist, zeigt WLP das folgende Popup in der oberen rechten Ecke des Designers an:

(In diesem Beispiel verwenden wir die folgende SVG, bei der es sich um eine externe Ressource handelt, die in einer Beispiel-Web-App verwendet wird: https://visualstudio.microsoft.com/wp-content/uploads/2021/10/Product-Icon.svg)

Wenn das Microsoft Edge DevTools-Fenster geöffnet wird, werden Sie möglicherweise auch die folgende Meldung bemerken, die erklärt, warum eine externe Ressource nicht geladen werden konnte:

Wenn Sie im Popup des Designers den Link "Hier klicken" auswählen, wird das folgende Dialogfeld angezeigt, in dem die Domänen der blockierten Ressourcen automatisch der Liste des Dialogfelds hinzugefügt werden:

Alle Ressourcen, die von externen Domänen stammen, die in der Liste des Dialogfelds gespeichert sind, werden nicht standardmäßig in WLP blockiert und wie gewohnt geladen. Nachdem Sie auf OK geklickt haben, lädt der Designer die Seite neu und lädt alle zuvor blockierten Ressourcen, deren Domänen dem Dialogfeld hinzugefügt wurden. Stellen Sie sicher, dass Sie nur externe Domänen zulassen, für die Sie überprüft haben, dass sie vertrauenswürdig und sicher sind.

Wenn Sie im Popup auf den Link Web Live Preview – Externe Domänen klicken, wird dasselbe Dialogfeld angezeigt, aber keine der Domänen der blockierten Ressourcen zum Dialogfeld hinzugefügt:

Sie können auch über die Einstellung auf das Tools -> Options -> Web Live Preview -> Allowed external domains during design Dialogfeld zugreifen. Die Dialogeinstellungen werden pro installierter instance von Visual Studio verwendet.

Warnung

Wenn Domänen nicht standardmäßig blockiert werden, können Sie dem oben erwähnten XSS-Angriff ausgesetzt sein. Auch hier wird dringend empfohlen, nur externe Domänen zuzulassen, die Sie als vertrauenswürdig und sicher überprüfen können.