Защита .Net приложения

@SPNick · Регистрация: 21.07.2015

Author24 — интернет-сервис помощи студентам

Добрый день!

Прошу помочь в решении проблемы. Есть на страницах элементы, которые должны быть активны\видимы только для пользователей с логинами из БД. Остальным должны быть невидимы\недоступны. Элементы обычные, HTML, не контролы. Получается что пользователь, если он сколько-то разбирается в js, может несанкционированно "получить" отсутствующий доступ несложными манипуляциями в консоли F12.

Как это можно предупредить, как правильно делать? Сенсей написал через web api 2, никаких подробностей. Так ли это, и, если да, ткните в пример\туториал? С чего начать, куда смотреть?

P.S.
Web Forms + Windows Authentication

Добавлено через 59 минут
Не понятно?.. Простой пример, есть кнопка:

HTML5

1	<span class="btn" disabled="disabled">

Исходя из проверки на доступ атрибут disabled остается в положении true для одного пользователя, или меняется на false для другого пользователя, который имеет право жать на эту кнопку. Реализуется через JS\jQuery. В итоге имеем проблему из первого поста - юзер может поправить значение атрибута через консоль, и всё, хана =)

Можно конечно хайдить элемент, это немного усложнит задачу. Но сейчас исходим из невозможности хайда кнопки.

@aquaMakc · 19.09.2016, 11:50

SPNick, может было бы проще формировать HTML страницу с кнопками/без кнопок в зависимости от уровня доступа пользователя?

@SPNick · 19.09.2016, 12:19 **[ТС]**

aquaMakc, MasterPage имеете в виду наверно? Может и так, конечно.

@aquaMakc · 19.09.2016, 13:04

Сообщение от SPNick

aquaMakc, MasterPage имеете в виду наверно? Может и так, конечно.

С WebForms не работал, т.к. во всей документации, что я видел написано, что эта технология устаревшая и не рекомендуется к применению, так-что терминологией не владею. Делал Веб на asp.net и селф-хостинг на основе HttpListener. И там и там html разметка формируется ручками, в т.ч. в зависимости от тех или иных условий можно формировать разный код страницы, причём, как наполнение данными/контролами, так и скриптами и таблицами CSS.

@lvlkoo · 19.09.2016, 13:48

С WebForms так же не работал. Но думаю принцип "примерно" такой же, расскажу на примере MVC

C помощью вставок кода проверяем необходимое условие, и формируем нужные элементы страницы.

HTML5

<div>   
    @if(User.HasAccessRight("Admin"))
    {
        <!-- div has input -->
        <input type="text">
    }
    else
    {
        <!--- nothing! div is empty -->
    }
</div>

@SPNick · 19.09.2016, 14:11 **[ТС]**

lvlkoo, занятно. Не встречал никогда таких примеров, но это действительно работает в виде

C#

<% if(name == "unknown"){ %>
    <h1>Я тебя не знаю!</h1>
<% } else { %>
    <h1><%= name %>, привет!</h1>
<% } %>

@lvlkoo · 19.09.2016, 14:16

SPNick, странно, что не встречали. Довольно штатная ситуация, генерация конченой страницы на основе тех или иных данных. Данные в данном случае - это наличе право доступа, ну либо конкретный логин

@SPNick · 19.09.2016, 14:28 **[ТС]**

lvlkoo, как-то мне вот так повезло.
Юзал всегда через JS

Javascript

1	if ('<%= name %>' === 'unknown') { ...

@lvlkoo · 19.09.2016, 14:32

SPNick, и кстати, советую переходить на MVC

@SPNick · 19.09.2016, 14:50 **[ТС]**

lvlkoo, буду стараться, спасибо. Давно хочу, да всё никак.

@Lutk · 19.09.2016, 17:13

Против хитрецов-удальцов только одна защита - обязательная серверная валидация всех приходящих данных.

@skynick99 · 19.09.2016, 20:57

контрол LoginView
https://msdn.microsoft.com/ru-... .110).aspx

@aquaMakc 484 / 397 / 68 Регистрация: 14.02.2014 Сообщений: 1,930
	19.09.2016, 11:50	2
	SPNick, может было бы проще формировать HTML страницу с кнопками/без кнопок в зависимости от уровня доступа пользователя? 0

@SPNick 32 / 25 / 19 Регистрация: 21.07.2015 Сообщений: 300
	19.09.2016, 12:19 [ТС]	3
	aquaMakc, MasterPage имеете в виду наверно? Может и так, конечно. 0

@aquaMakc 484 / 397 / 68 Регистрация: 14.02.2014 Сообщений: 1,930
	19.09.2016, 13:04	4
	Сообщение от SPNick aquaMakc, MasterPage имеете в виду наверно? Может и так, конечно. С WebForms не работал, т.к. во всей документации, что я видел написано, что эта технология устаревшая и не рекомендуется к применению, так-что терминологией не владею. Делал Веб на asp.net и селф-хостинг на основе `HttpListener`. И там и там html разметка формируется ручками, в т.ч. в зависимости от тех или иных условий можно формировать разный код страницы, причём, как наполнение данными/контролами, так и скриптами и таблицами CSS. 1

@lvlkoo .NET C#,ASP.NET MVC 594 / 507 / 224 Регистрация: 16.10.2010 Сообщений: 1,902
	19.09.2016, 14:16	7
	SPNick, странно, что не встречали. Довольно штатная ситуация, генерация конченой страницы на основе тех или иных данных. Данные в данном случае - это наличе право доступа, ну либо конкретный логин 0

@lvlkoo .NET C#,ASP.NET MVC 594 / 507 / 224 Регистрация: 16.10.2010 Сообщений: 1,902
	19.09.2016, 14:32	9
	SPNick, и кстати, советую переходить на MVC 0

@SPNick 32 / 25 / 19 Регистрация: 21.07.2015 Сообщений: 300
	19.09.2016, 14:50 [ТС]	10
	lvlkoo, буду стараться, спасибо. Давно хочу, да всё никак. 0

@Lutk 71 / 66 / 29 Регистрация: 28.10.2013 Сообщений: 248
	19.09.2016, 17:13	11
	Против хитрецов-удальцов только одна защита - обязательная серверная валидация всех приходящих данных. 0

@skynick99 326 / 159 / 45 Регистрация: 06.12.2012 Сообщений: 305
	19.09.2016, 20:57	12
	контрол LoginView https://msdn.microsoft.com/ru-... .110).aspx 1

Защита .Net приложения

Решение