在ASP.NET应用程序上工作我已经使用自定义HttpModule实现了页面级访问控制,该HttpModule拦截每个传入请求,并检查所连接的用户是否可以访问所请求的页面(如果未访问,则将其重定向到错误页面).

>这种方法足以保证应用程序的安全性还是容易绕开它,
>您建议如何改进它？

提前致谢.

解决方法:

只要标准库中没有任何可用于所需内容的文件,就可以了,只要您已经对模块进行了充分的测试即可.如果无法访问服务器本身来修改web.config文件,则无法绕过HttpModule,如果攻击者已经这样做,那么这就是您最少的担心！

如果标准库中有可以使用的东西,您应该选择它,因为它不可避免地会被其他人广泛测试！

我建议为您的模块编写一套不错的单元测试,因为它将构成您的应用程序的主要防线！