MVC ile yazılan projenenin kaynak kodunun F12 de gözükmesi

khalannz7 · 28 Eylül 2023

Merhaba. Buradaki verileri nasıl gizleyebilirim? Hepsini gizleyemeyeceğimi biliyorum ama mesela önemli verileri, network kısmında post olan Controllerin adının gözükmesi vs. bunlar nasıl gizlenir?

bitwise · 28 Eylül 2023

Controller'in ismi neden gorunuyor ki? MVC paternine zaten aykiri bir hareket o.

delikarga · 29 Eylül 2023

Kaynak kodundan kastınız razor syntax mı gözüküyor? Controller ismi görünüyor dediğiniz route görünüyordur. Onu route attribute'u ile değiştirebiliyorsunuz ama isimlendirmenin öyle olması iyi. Controller/Action/id şeklinde ilerlemesi gayet doğal.

unalWT · 29 Eylül 2023

Controller adının görünmesinin hiçbir mahsuru yok. Sen yeter ki Controller a gelen verilerin kontrolünü iyi sağla gerisine kafa yorma

khalannz7 · 29 Eylül 2023

bitwise dedi:
Controller'in ismi neden gorunuyor ki? MVC paternine zaten aykiri bir hareket o.

Hocam Controllere post işlemi yaptığımda network kısmından görebiliyorum aykırı bir hareket değil.

delikarga dedi:
Kaynak kodundan kastınız razor syntax mı gözüküyor? Controller ismi görünüyor dediğiniz route görünüyordur. Onu route Attribute'u ile değiştirebiliyorsunuz ama isimlendirmenin öyle olması iyi. Controller/Action/id şeklinde ilerlemesi gayet doğal.

Hocam mesela post işlemlerinde token yolluyorum Controllere ve bu token açık şekilde F12 de gözüküyor.

unalWT dedi:
Controller adının görünmesinin hiçbir mahsuru yok. Sen yeter ki Controller a gelen verilerin kontrolünü iyi sağla gerisine kafa yorma

Bunun içinde SSL kurmam lazım sanırım hocam.

delikarga · 29 Eylül 2023

khalannz7 dedi:
Hocam mesela post işlemlerinde token yolluyorum Controllere ve bu token açık şekilde F12 de gözüküyor.

JWT tokendan bahsediyorsan sorun yok. Productionda SSL kullanarak bağlantını güncel TLS üzerinden gerçekleştirirsen ve http-only cookielerde tutarsan tokenını bir sorun olmaz. Zaten JWT doğası gereği client tarafında görülebilir bir şey. İmza kısmı bu yüzden bulunuyor ve doğrulamada kullanılıyor. Controllerın isminin de görünmesi sorun değil. Sonuç olarak programı dış dünyaya açıyorsunuz ismin önemi yok istersen ahmet de, example.com/ahmet/.. olsun bir şey değişmiyor. CORS policy, content securiy policy gibi kavramları araştırabilirsiniz. Learn Privacy

bitwise · 29 Eylül 2023

khalannz7 dedi:
Hocam Controllere post işlemi yaptığımda network kısmından görebiliyorum aykırı bir hareket değil.

Aykiri tabi ki, MVC'de model hangi controller'i cagirdigini bilmez, zaten paternin var olus amaci bu 3 konsepti ayirmak.

Ayrica linkte'de Controller yazmaz, o da RESTful prensibine aykiri.

Ortaya karisik bir seyler yaziyorsunuz.

Rest -> REST - Wikipedia
MVC -> Model–view–controller - Wikipedia
"independence of presentation and data, e.g. multiple views on one model simultaneously"

khalannz7 · 29 Eylül 2023

bitwise dedi:
Aykiri tabii ki, MVC'de model hangi Controller'i cagirdigini bilmez, zaten paternin var olus amacı bu 3 konsepti ayirmak.

Ayrica Linkte'de Controller yazmaz, o da restful prensibine aykiri.

Ortaya karisik bir seyler yaziyorsunuz.

Rest -> REST - Wikipedia
MVC -> Model–view–controller - Wikipedia
"İndependence of presentation and data, e. G. Multiple views on One model simultaneously"

Daha acemiyim hocam zaten sorunun şeklinden anlamışsınızdır.

delikarga dedi:
JWT tokendan bahsediyorsan sorun yok. Productionda SSL kullanarak bağlantını güncel TLS üzerinden gerçekleştirirsen ve http-only cookielerde tutarsan tokenını bir sorun olmaz. Zaten JWT doğası gereği client tarafında görülebilir bir şey. İmza kısmı bu yüzden bulunuyor ve doğrulamada kullanılıyor. Controllerın isminin de görünmesi sorun değil. Sonuç olarak programı dış dünyaya açıyorsunuz ismin önemi yok istersen ahmet de, example.com/ahmet/.. olsun bir şey değişmiyor. CORS policy, content securiy policy gibi kavramları araştırabilirsiniz. Learn Privacy

Hocam JWT gibi konulara daha giremedim bahsettiğim @Html.AntiForgeryToken.

bitwise · 29 Eylül 2023

khalannz7 dedi:
Daha acemiyim hocam zaten sorunun şeklinden anlamışsınızdır.

Problem degil, herkes acemi basliyor; ben dogrusunu soylemeye calisiyorum. Ogrenirken edindigin aliskanliklar seninle yasayacak cunku.

Ideal olarak link yapisi resource'a gore sekillenir ve cagiracagin metod da yapacagin isleme gore olusur.
Kullanici olusturacaksan "users" resource olacaktir ve POST -> /v2/api/users seklinde istek atarsin.

Model gonderdigin data'dir ve bunu kimin nasil isleyecegi View'in umrunda degildir. Boylece bagimsiz sekilde View ve Controller degisebilir; ayni modeli birden fazla View ve birden fazla controller process edebilir cunku ayrilmistir. Ayni sunucu ile Web, Mobil, SFTP yazabilirsin bu prensiplerle.

Farkli isler icin "/users/create" ya da "/HedeHodoController/Create.action" vs yaptigin anda RESTful ve MVC prensiplerin icinden gecmis olursun ve uygulama buyudugu zaman spagettiyle ugrasmak zorunda kalirsin. Controller'i refactor edersen modeli ve view'i de refactor etmen gerekiyorsa MVC hatan var demektir.

delikarga · 29 Eylül 2023

khalannz7 dedi:
Hocam JWT gibi konulara daha giremedim bahsettiğim @Html.AntiForgeryToken.

Anladım hocam. Bahsettiğiniz token CSRF saldırılarını önlemek amacıyla html formlarına eklenen, asp.net'in sunduğu bir özellik. @Html.AntiForgaryToken render olduğunda hidden bir inputa dönüşür. İçerisine cookiedeki verification token değerini alır. Tam olarak çalışması için controllerda ilgili post methoduna validateantiforgarytoken attributeunu vermen gerekiyor. Detaylı bilgi: ASP.NET MVC'de Siteler Arası İstek Sahteciliği (CSRF) Saldırılarını Önleme

MVC ile yazılan projenenin kaynak kodunun F12 de gözükmesi

khalannz7

Hectopat

bitwise

Gigapat

delikarga

Kilopat

unalWT

Decapat

khalannz7

Hectopat

delikarga

Kilopat

bitwise

Gigapat

khalannz7

Hectopat

bitwise

Gigapat

delikarga

Kilopat