.NET MVC敏感数据

Question

假设用户在MVC web应用程序的页面上的HTML输入(文本框)中输入敏感数据(如SSN等)。

在发送之前保护数据的方法是什么(通过表单-post、URL查询字符串等)。ASP .NET MVC是否提供了这样做的机制？

附注:我想知道如何使用MVC，而不是HTTPS或其他基于基础设施/传输/等的东西

Answer 1

在web服务器和客户端的web浏览器之间安全地发送任何敏感消息的唯一(可实现的)方法是通过HTTPS/SSL -否则，您的消息总是可以被MITM攻击截获，这对于proper HTTPS setup (和this post也是)是不可能的。

这篇answer更详细地介绍了为什么没有HTTPS/SSL就不能保护web应用程序。

Answer 2

MVC只是一个架构设计模式，微软将其作为开发web应用程序的标准。许多其他框架使用MVC作为在其框架下开发web应用程序的模式(exp。Spring MVC)。基本上，MVC无处不在，如果你看不到Model，View，Controller文件夹，请相信我，它就在那里。因此，对于敏感信息，有一种机制可以防止跨站点请求伪造和其他黑客攻击，但如果您通过http发送请求，这是无用的，您发送的是每个人都可以轻松嗅探的裸体请求。这就是为什么在敏感数据从你的计算机传递到服务器时总是使用https的原因。这是基本的概念，它适用于您选择的任何框架。所以你的回答是不。以下是如何保护asp.net app的链接。