• 隐藏web服务端信息

创建一个asp.net core mcv web项目，运行，F12查看返回信息，如下图，会清晰看到服务端的类型是kestrel.

有时安全检测要求不能显示服务端信息，这样在一定程度上能降低被 攻击的风险，具体代码如下：

    public class Program{public static void Main(string[] args){CreateHostBuilder(args).Build().Run();}public static IHostBuilder CreateHostBuilder(string[] args) =>Host.CreateDefaultBuilder(args).ConfigureWebHostDefaults(webBuilder =>{webBuilder.ConfigureKestrel(opt =>{//隐藏服务端信息opt.AddServerHeader = false;});webBuilder.UseStartup<Startup>();});}

效果如下，kestrel被隐藏起来了。

• 防止重定向

     [AllowAnonymous][HttpPost("login")]public IActionResult Login(string userName,string password,string returnUrl = "/"){//这里省略n行代码return Redirect(returnUrl);}

上面代码中，一般验证用户信息后会跳转到一个站内页面，这个时候会带有returnUrl，这个url如果被篡改成其他站点url，就样就会把我们引导到其他站点提供授权信息，从而泄露自己的登录信息，怎么破？如下：

        [AllowAnonymous][HttpPost("login")]public IActionResult Login(string userName, string password, string returnUrl = "/"){//这里省略n行代码//return Redirect(returnUrl);return LocalRedirect(returnUrl);//orif (Url.IsLocalUrl(returnUrl)){return Redirect(returnUrl);}else{return Redirect("/error");}}

• 登出，登录次数限制

 public async Task<IActionResult> Logout(){//logout要使登录的cookie失效await HttpContext.SignOutAsync(CookieAuthenticationDefaults.AuthenticationScheme);return RedirectToAction("Index", "Home");
}

有登录，就要一定要有登出，如果是基于cookie，让客户端cookie清除，如果是jwt，token一定要有过期(或服务端维护状态让其实效)。这样可以有效防止授权信息被别人再利用。

另一方面要设计一定时间内登录错误次数锁定帐户功能，在一定程度上也能减少被攻破的风险。

（未完待续）