Első lépések ASP.NET webes űrlapokkal

A webűrlapok modellje, valamint a lapok létrehozása és vezérlők használata.

• Első lépések az ASP.NET 4.5 Web Forms használatával és a Visual Studio 2013 alkalmazásával

  • A Web Forms és a Visual Studio használatának első lépései
  • A projekt létrehozása
  • Adatelérési réteg létrehozása
  • felhasználói felület és navigációs rendszer
  • Adatelemek és részletek megjelenítése
  • Bevásárlókocsi
  • Pénztár és fizetés PayPal-lal
  • Tagság és adminisztráció
  • URL-útválasztási folyamat
  • ASP.NET hibakezelési

• Egyszerű webes űrlapok lap létrehozása a Visual Studio 2013-ban

• Visual Studio 2013-ban ASP.NET webes űrlapok kódszerkesztési

• Az Oldalellenőrző használata a Visual Studio 2012-ben ASP.NET webes űrlapokban

• Visual Studio 2012 Hands On Labs

  • A Visual Studio 2012 ASP.NET és webfejlesztésének újdonságai
  • Az ASP.NET 4.5 webűrlapok újdonságai
  • A Page Inspector használata a Visual Studio 2012-ben

Miért tiltja le a lap külső erőforrásait a Web Live Preview?

Ha egy külső tartományból származó erőforrás szerepel a lapon, észreveheti, hogy a Web Live Preview megakadályozta a betöltésüket, és megjeleníti ezt az üzenetet:

Lehet, hogy azon tűnődik, hogy miért lett letiltva az erőforrások betöltése a tervezőben, és miért jelenik meg az értesítés. Ez a cikk azt ismerteti, hogy miért tiltották le az erőforrásokat.

A Web Live Preview és a BrowserLink áttekintése

A Web Live Preview (WLP) egy Visual Studio-bővítmény, amely a BrowserLinkre épül. A WLP a BrowserLink használatával biztosít csatornát a Visual Studio és a tervező közötti kétirányú kommunikációhoz. Ez a kétirányú kommunikáció lehetővé teszi, hogy a WLP számos funkciót biztosítson:

• A tartalom szinkronizálása és a tervezőben jelenleg kijelölt csomópont szinkronizálása a szerkesztővel.
• A tervező által létrehozott új tartalom leküldése a szerkesztőbe.
• Műveletpanel-parancsok végrehajtása.

Lehetséges biztonsági rések a Web Live Preview és a BrowserLink használatával

Ha egy harmadik féltől származó szkripteket vagy erőforrásokat szúr be a weblapba, az a WLP és a BrowserLink használatával potenciális biztonsági rést jelenthet a webhelyek közötti szkriptelés (XSS) támadásához.

Ha egy harmadik féltől származó erőforrás rosszindulatú kódot tud beszúrni a webhelyre, a kód a tervezőbe injektált Browser Link szkripttel hívhat vissza a Visual Studióba. Az injektált szkript lehetővé teheti, hogy a kód tetszőleges tartalmat írjon a Visual Studióban megnyitott fájlokban, vagy más támadási vektorokat nyisson meg.

Jelenleg nem lehet megakadályozni, hogy a támadók a BrowserLink szkripttel kommunikáljanak a Visual Studióba.

Biztonsági rések elhárítás

A lehető legnagyobb mértékben korlátoztuk és elhárítottuk a BrowserLink szkripttel a Visual Studióba irányuló kommunikáció biztonsági réseit. Egyes támadások azonban továbbra is lehetővé tehetők egy XSS-támadással.

Az ilyen XSS-támadások lehetőségének csökkentése érdekében a WLP alapértelmezés szerint blokkolja az összes külső erőforrás betöltését. Ha bármilyen külső erőforrás le van tiltva, a WLP a következő értesítést jeleníti meg a tervező jobb felső sarkában.

(Ebben a példában a következő SVG-t használjuk, amely egy minta webalkalmazásban használt külső erőforrás: https://visualstudio.microsoft.com/wp-content/uploads/2021/10/Product-Icon.svg)

Ha meg van nyitva a Microsoft Edge DevTools ablaka, az alábbi üzenet azt is jelzi, hogy miért nem sikerült betölteni egy külső erőforrást:

A tervező köszöntőjében, ha az ide kattintva hivatkozásra kattint, megjelenik a következő párbeszédpanel, amelyen a letiltott erőforrások tartományai automatikusan felkerülnek a párbeszédpanel listájára:

A párbeszédpanel listájában tárolt külső tartományokból érkező erőforrások alapértelmezés szerint nem lesznek letiltva a WLP-ben, és a szokásos módon betöltődik. Az OK gombra kattintva a tervező újra betölti a lapot, és betölti azokat a korábban letiltott erőforrásokat, amelyek tartományai hozzá lettek adva a párbeszédpanelhez. Győződjön meg arról, hogy csak az ellenőrzött külső tartományokat engedélyezi megbízhatónak és biztonságosnak.

A Webes Élő Előnézet – külső tartományok linkre kattintva a toastban ugyanaz a párbeszédpanel jelenik meg, de a letiltott erőforrások tartományait nem fogja hozzáadni a párbeszédpanelhez.

A párbeszédpanel ezen beállításon keresztül is elérhető Tools -> Options -> Web Live Preview -> Allowed external domains during design. A párbeszédpanel beállításai a Visual Studio telepített példányánként jelennek meg.

Figyelmeztetés

Ha a tartományok alapértelmezés szerint nincsenek letiltva, az a fent említett XSS-támadásnak való kitettséget eredményezheti. Ismételten azt javasoljuk, hogy csak olyan külső tartományokat engedélyezzünk, amelyeket megbízhatónak és biztonságosnak tud minősíteni.