ASP.NET Core 安全性主題

ASP.NET Core 可讓開發人員設定安全性並進行管理。 下列清單提供安全性主題的連結：

• 驗證
• 授權
• 資料保護
• HTTPS 強制執行
• 在開發期間安全儲存應用程式祕密
• XSRF/CSRF 預防
• 跨原始資源共用 (CORS)
• 跨網站指令碼 (XSS) 攻擊

這些安全性功能可讓您打造強固且安全的 ASP.NET Core 應用程式。

ASP.NET Core 安全性功能

ASP.NET Core 提供許多工具和程式庫來保護 ASP.NET Core 應用程式的安全 (例如內建的識別提供者) 以及協力廠商的識別服務 (如 Facebook、Twitter 和 LinkedIn)。 ASP.NET Core 提供數種方法可儲存應用程式秘密。

驗證與授權

驗證是一道程序，其會將使用者提供的認證與作業系統、資料庫、應用程式或資源中儲存的認證進行比對。 如果相符的話，使用者就能成功通過驗證，並可執行他們在授權程序期間取得授權的動作。 授權則是決定使用者得以執行哪些動作的程序。

您也可以將驗證想成是進入伺服器、資料庫、應用程式或資源這類空間的方法，而授權則表示使用者得以針對空間 (伺服器、資料庫或應用程式) 內哪些物件執行哪些動作。

軟體的常見弱點

ASP.NET Core 和 EF 包含的功能有助您保護應用程式的安全，並防範安全性缺口的發生。 下列連結清單可帶您前往如何避免 Web 應用程式中最常見資訊安全漏洞的技術詳細文件：

• 跨網站指令碼 (XSS) 攻擊
• SQL Injection attacks (SQL 插入式攻擊)
• 跨網站偽造要求 (XSRF/CSRF) 攻擊
• Open redirect attacks (開啟重新導向攻擊)

除此之外，還有許多弱點是您必須提防的。 如需詳細資訊，請參閱目錄安全性與 Identity 一節中的其他文章。

其他資源

• Identity on ASP.NET Core 簡介
• 允許為 ASP.NET Core 中的 TOTP 驗證器應用程式產生 QR 代碼
• ASP.NET Core 中的 Facebook 和 Google 驗證
• .NET Web 應用程式的 Identity 管理解決方案