自救必看三大準則

Mass Assignment

避免XSS攻擊

在 C# 的情況裡,若完全接收 Form來的資料

等於是不過濾是否有炸彈的情況,完全接收。

所以至少要將 [FromUri]
改為  [Bind(Include = "你要接收的欄位")]

並且設置白名單 與 參數驗證

留言

張貼留言

這個網誌中的熱門文章

IIS - ASP.NET 網站基本優化設定

圖片
  運行 ASP.NET 基本上都是掛載在 IIS 上面,但 IIS 預設的設定,並不適合 24 小時不中斷的營運系統。 如果沒有適當的調整,可能會造成使用者的感受不佳,而你又偏偏不會遇到。 本篇將介紹 IIS 運行 ASP.NET 網站的基本優化設定。 應用程式集區 打開 IIS 管理員,到應用程式集區,選擇網站後,開啟進階設定: 1. 一般 (General) 佇列長度 (Queue Length) 預設值是  1000 ,當封包數量在同一時間到達該指定值,之後的 Request 都會變成 HTTP Status 503 Service Unavailable。 例:當有同時間有 1001 個 Request 一起送到 IIS,第 1001 個 Request 會直接回傳 503,不會進到 ASP.NET 處理。 也不是無限大就好,也是要看伺服器等級。 假設調成 10000,也真的有同時 10000 的量,可能會演變成  CPU High  的問題。 因此,這個欄位沒有建議值,網站封包量很大才有需要調整這個欄位。 啟動模式 (Start Mode) 預設值是  OnDemand ,當網站執行回收後,會等到第一個 Request 進來,IIS 才會把網站啟動。 所以第一個連上來的使用者會等到比較久的時間,ASP.NET 初始化完成後,使用者才會得到回應。 建議設定成  AlwaysRunning ,當網站執行回收後,IIS 就會直接啟動 ASP.NET。 2. 回收 (Recycling) 固定時間間隔 (Regular Time Interval) 預設值是  1740 ,也就是每隔 29 小時 IIS 就會把該網站重啟。 很可能重啟當下使用者正在操作,對於要 24 小時不中斷的系統來說,這真的是很不妥當的事情。 如果 ASP.NET 的 Session Mode 是用 InProc,網站重啟使用者就全被登出了。 建議設定成  0 ,也就是關閉定期重啟網站的設定。 如果網站真的需要定期重啟,可以在 特定時間 (Specific Times)  設定,固定每天哪些離峰時間做重啟的動作。 3. 快速失敗保護 (Rapid-Fail Protection) Enabled 預設值是...
閱讀完整內容

Node.js 部署至 IIS 站台

圖片
基於公司網路架構的規定 記錄一下自己是如何成功將手邊的 Node.js 部署到 iis 上。 一、安裝工具 以下三樣,順序固定 .安裝 node-v14.17.5-x64.msi 的node工具 https://drive.google.com/file/d/1oMVvy0p4ViP7v-EMA8vPqIghy_ulW_Af/view?usp=sharing .安裝 iis 的 rewrite_amd64_en.US.msi https://drive.google.com/file/d/1O1J-NuiGpNywGesuqCeSEcFSfjKluFzN/view?usp=sharing .安裝 iisnode-full-v0.2.21-x64.msi https://drive.google.com/file/d/1ijIW1Zz4rXrkW8F-aJQ5AA4vDromFfog/view?usp=sharing 二、建立IIS站 .首先建立「應用程式集」 -識別:NetworkService 三、建立 web.config .兩個方式 -自己為站台的情形,貼上以下內容 <configuration> <system.webServer> <!-- indicates that the server.js file is a node.js application to be handled by the iisnode module -->  <handlers>   <add name="iisnode" path="server.js" verb="*" modules="iisnode" />  </handlers> <rewrite>  <rules>   <rule name="sendToNode">    <match url="/*" />    <action type="Rewrite" url="server.js" />   </rule...
閱讀完整內容

遇見 Parameters 參數上限之大量資料寫入方法

圖片
遇到 Too many parameters were provided in this RPC request. The maximum is 2100. 的狀況時的處理模式 前言: 因為導入資安專案後,同仁已經針對 SQL 語法改採用 Parameters.Add 的方法撰寫。 但近來 HR 同仁因為有大量資料寫入的需求,遇到 Parameters 參數使用超過  2100  個的上限的例子 (如下圖) The incoming tabular data stream (TDS) remote procedure call (RPC) protocol stream is incorrect. Too many parameters were provided in this RPC request. The maximum is 2100.  以下紀錄兩個方法,處理這問題: Parameters.Add 批次寫入。 SqlBulkCopy 大量資料寫入。 實作(一) Parameters.Add 批次寫入: 一樣使用 Parameters.Add,但會依 Parameters.Count 批次寫入資料 ( 效率差 ) protected void Button1_Click ( object sender, EventArgs e ) { //================================================== // // 1. 加入參考:System.Transactions // 2. using System.Transactions; // //================================================== //引用stopwatch物件 (計算執行時間) Stopwatch sw = new Stopwatch(); sw.Start(); //創造 DataTable,準備來接資料 DataTable dt = new DataTable(); dt.Columns....
閱讀完整內容