Freigeben über

Sicherheitsüberlegungen (EntityDataSource)

  • Artikel

Aktualisiert: November 2007

Neben den Sicherheitsaspekten hinsichtlich der Entwicklung, der Bereitstellung und der Ausführung von Entity Framework-Anwendungen gibt es spezielle Sicherheitsüberlegungen für das EntityDataSource-Steuerelement. Zusätzlich zu den Informationen in diesem Thema sollten Sie sich auch an die Empfehlungen zum Erstellen sicherer .NET Framework-Anwendungen halten. Weitere Informationen finden Sie unter Sicherheitsüberlegungen (Entity Framework).

Allgemeine Überlegungen zur Sicherheit

In der folgenden Liste werden Sicherheitsaspekte für das EntityDataSource-Steuerelement beschrieben.

  • Berechtigungsebene
    Die Komponente öffnet mit der angegebenen Verbindungszeichenfolge eine Verbindung. Die Berechtigungsebene der Verbindung hängt von der Verbindung und der Serverkonfiguration ab.

  • Zugriffssteuerung
    Seiten, die Abfragen mit erheblichen Kosten erzeugen können, sollten durch die Zugriffssteuerung geschützt werden.

  • Ungeprüfte Eingabe
    Die ungeprüfte Eingabe von Abfragefragmenten oder von vollständigen Abfragen sollte für die Clientseite nicht verfügbar gemacht werden. Anwendungen sollten immer Parameter als Eingabe für Abfragen verwenden.

  • Threadsicherheit
    Die Komponente ist nicht threadsicher, da ASP.NET dies nicht erfordert.

  • Ausnahmemeldungen
    Das Entity Framework macht Fragmente mit Metadateninformationen in Ausnahmemeldungen verfügbar. Das EntityDataSource-Steuerelement versucht nicht, Metadaten davor zu schützen, auf diese Art und Weise verfügbar gemacht zu werden.

  • Validierung von Postbackaufrufen
    Standardmäßig überprüft ASP.NET die möglichen Argumente für Postbackaufrufe auf dem Server. Die Deaktivierung dieser Funktion kann die Sicherheit einer beliebigen Webanwendung erheblich beeinträchtigen.

  • Stapelüberwachung
    Standardmäßig zeigt ASP.NET die Stapelüberwachung von Ausnahmen nicht auf der Fehlerseite an. Die Aktivierung dieser Funktion kann zur Weitergabe einiger Metadatendetails führen, da einige Ausnahmemeldungen unter Umständen Metadatenfragmente enthalten.

Siehe auch

Weitere Ressourcen

Sichern von ADO.NET-Anwendungen

Übersicht über das EntityDataSource-Webserversteuerelement

Datenauswahl mit EntityDataSource

ADO.NET Entity Framework

Sicherheitsüberlegungen (Entity Framework)