昨天晚上看了视频,今天早上起来就凭着记忆与视频里的代码试着做了一个登陆,基本功能是实现了。
0x0:首先,第一步是做一个界面。。。。直接扒别人做好的页面。。。。。各种改改路径啥的,用浏览器打开,恩,发现基本界面是对的就ok
0x1:解决验证码。添加一个一般处理程序ValidateCode。直接封装好了一个类,具体是使用GDI+实现的。类里面的方法直接返回了image/jpeg。然后在aspx界面代码里面加上JS代码,为验证码图片注册点击事件,每点击一次,就将src属性改变一次(在后面加1),重新请求一次。同时在这个一般处理程序实现的接口加上IRequiresSessionState,这个接口转到定义后发现是空的,就是起到一个标志的作用,可以使用Session。在ValidateCode.ashx的代码后面加上 context.Session["ValidateCode"] = strCode; 将这次生成的验证码记录到本次会话中。
0x2:Cookie。第一次请求的话,就将上次登录的用户名放到文本框中。
if (!IsPostBack)
{
//第一次请求从cookie中拿到上次登陆的用户名,并放到文本框中
LastLoginName = Request.Cookies["UserName"] == null ? string.Empty : Request.Cookies["UserName"].Value;
}
0x3:如果是IsPostBack的话,意味着这是一次登录请求,首先将现在登录的用户名写入cookie中:Request.Cookies["UserName"].Value = Request["txtClientID"];
然后校验验证码:
string requestCode = Request["txtCode"];
string sessionCode = Session["ValidateCode"] == null ? string.Empty : Session["ValidateCode"].ToString();
Session["ValidateCode"] = null;//匹配一次就清空
获得用户输入的验证码,存在会话中的验证码,然后清空会话中的验证码。
然后就可以拿这两个验证码进行校验,如果相同且都不为空,意味着验证码正确,可以进行用户名和密码的校验;如果两次验证码不一样或者为空,意味着验证码校验失败。(ps:为什么要清空会话中的验证码呢?是为了防止暴力破解,如果不清空的话,可以伪造http请求不停地试验证码。Burp Suite就可以很轻松的做到爆破~);
如果验证失败,可以在前台弹出一个提示。为了方便,直接在前台预留一个坑 <%= ShowMsg %>,在后台代码中添加属性ShowMsg。这样需要在这个坑里面写什么样的代码就都可以了。例如:(<script>alert('验证码输入失败!');</script>);
0x4:验证用户名密码就太简单了,BLL层里直接调用自己写的方法就ok了,方法返回结果是一个List<T>集合。如果成功了就直接Response.Redirect()跳转到后台主页面就行了,并且将这次成功的List<T>中的元素添加到Session中。失败的话就在ShowMsg坑里面弹弹弹,弹走鱼尾纹~
0x5:问题来了,我们登陆成功了就能跳转到主页面了,可是我们不登陆,直接在浏览器地址栏里面输入地址也是一样可以到达主页面的,这尼玛登陆就没有任何意义了,所有一定要做验证,如果不是登陆成功的会话请求就直接让他滚去登陆,直接Response.Redirect()到登陆页面。后台这样需要验证是否是登陆进来的请求实在是太多了,而且为了方便,我们直接生成一个类。
具体如何做?我们发现我们生成的aspx的Web窗体程序都是集成自System.Web.UI.Page类的。我们可以让我们自己生成的类集成System.Web.UI.Page这个类,然后让我们那些需要验证会话的那些web窗体继承我们自己生成的类,这样就相当于在web窗体和System.Web.UI.Page之间加了一层东西,我们就在这个加的一层里面动手脚。
我们在这个类里面加上一个属性。因为我们前面在Session内存里面储存的是list<T>里的元素,所以我们增加的属性的类型就是T,用来校验是否存在会话。代码如下:
public Model.HKSJ_USERS CurrentLoginUsers { get; set;}
protected void Page_Init(object sender, EventArgs e)
{
CurrentLoginUsers = Session["LoginUser"] as Model.HKSJ_USERS;
if (CurrentLoginUsers==null)
{
Response.Redirect("Login.aspx");
}
}
Page_Init 事件代表的是页面初始化,比Page_Load发生的还要早。web窗体继承了这个类,所以他们在页面初始化的时候就会校验是否存在会话。
0x6:在视频里面看到,会话过期的话,iframe标签跳转的话,会在iframe的地方直接跳转到登陆页面,形成嵌套的效果,简直丑陋!!以前入侵网站放上的大马,就是这样,一段时间不操作,就会那样嵌套,当时就觉得简直shit!!
我先是登陆进了后台,然后重新生成,按理说Session已经断开了,我也应该遇到那样的情况才对啊,可是现实不是这样的,我在后台还能继续操作,直接在浏览器地址栏Get请求才会跳转到登陆界面,由此可见,我的Session也是断开了才对啊~难道我在后台的那些操作没有经过Page_Init吗?可是视屏里面就是嵌套跳转了的啊?算了,我也不钻牛角尖了,以后肯定还会遇到的,现在先把解决方案贴出来:
<%--<script type="text/javascript">
if (window != window.top.window) {
window.top.window.location.href = "/Admin/Login.aspx";
}
</script>--%>
跳转的时候先看看自己是不是顶级窗口,如果不是,就让顶级窗口跳到登陆界面;如果是,那还费什么话啊,赶紧跳啊!
第一次写这样的博客,思路还是很乱的。。。写之前,我的思路还要更混乱,写着写着,思路渐渐的就理顺了一些,果然写博客还是有用处的!还有,就是花的时间有点多,不过这样的总结我觉得还是很有必要的。