提升ASP.NET MVC專案安全性與效能小技巧

ASP.NET MVC專案最佳化

在討論ASP.NET MVC時，大多是針對MVC模式與MVC應用程式在討論，較少看到有人討論ASP.NET MVC專案本身，其實ASP.NET MVC專案有幾個地方可以微調整，有些可以增加安全性，有些可以增加效能。

取消Header輸出MVC專案版本

預設的ASP.NET MVC專案在一次回應請求的標頭裡包含著些ASP.NET MVC專案的版本，以 http://kkbruce.tw 為例，預設情況下的回應標頭（Response Header）為：

HTTP/1.1 200 OK
Cache-Control: public, max-age=3600
Content-Type: text/html; charset=utf-8
Content-Encoding: gzip
Expires: Sat, 27 Jul 2013 17:49:36 GMT
Last-Modified: Sat, 27 Jul 2013 16:49:36 GMT
Vary: Accept-Encoding
Server: Microsoft-IIS/8.0
X-AspNetMvc-Version: 4.0
X-AspNet-Version: 4.0.30319
X-SourceFiles: =?UTF-8?B?RTpcUHJvamVjdHNca2ticnVjZS50d1xra2JydWNlLnR3XEJvb3RzdHJhcFxHZXR0aW5nU3RhcnRlZA==?=
X-Powered-By: ASP.NET
Date: Sat, 27 Jul 2013 16:49:39 GMT
Content-Length: 7699
  

由回應標頭（Response Header）中可以看出目前此網站的ASP.NET MVC 4的專案，如果某個版本ASP.NET MVC專案某一天爆發漏洞，那麼要找下手的目標是很容易的。

所有一個簡單的需求，不管我們的ASP.NET MVC專案是什麼版本，MVC 2/3/4/5…都不要在回應標頭（Response Header）顯示ASP.NET MVC專案版本，其實也很容易，只需要在 Global.asax 的 Application_Start() 透過以下設置：

Web API Client Library+Portable Library打造跨平台的Web API服務類別

Web API Client Library與Portable Library

ASP.NET Web API Client Library（HttpClient）讓我們簡單地在.NET用戶端應用程式中與RESTful HTTP Service互動。之前版本的Web API Client Library對於跨平台的支援度不是那麼好，目前Web API Client Library的下一個預覽版已經在這方面進行改良。此預覽版新增了可攜式類別庫（Portable Library）的支援，目前支援.NET Framework 4.5、Windows Store、Windows Phone 8三種應用程式類別。這些支援建構在最近發佈的可攜式HTTPClient和可攜式類別庫支援Json.NET。這樣我們就能建立單一的可攜式類別庫去讓Windows Store App、Windows Phone去呼叫Web API。

建立不同平台的專案

接下來，我們要建立三個專案，一個可攜式類別庫，透過可攜式類別庫使用Web API Client Library來呼叫RESTful HTTP Service，一個.NET Framework 4.5的主控台應用程式，一個Windows Store App，主控台應用程式與Windows Store App會透過可攜式類別庫來進行服務呼叫。

1. 新增專案 → 可攜式類別庫專案 → 名稱：ContosoClient。
   
   
2. 進行可攜式類別庫條件設定。請設定為.NET Framework 4.5、Windows Phone 8、.NET for Windows Store App。
   
   

   這是因為ASP.NET Web API Client Library不支援 xbox 360、Silverlight和Windows Phone 7.5。以下範例不進行Windows Phone 8示範，不過我們的建立的可攜式類別庫是可以支援Windows Phone 8。

3. 加入 → 新增專案 → 主控台應用程式 → 名稱：ContosoConsole
4. 加入 → 新增專案 → Windows市集 → 空白的應用程式（XAML） → 名稱：ContosoStore

   這裡可能會出現要求取得市集開發者授權請求，請依畫面登入取得。

5. 透過 NuGet 為三個專案加入Microsoft.AspNet.WebApi.Client的參考。NuGet請選擇包括發行前版本。
   
   
6. 為ContosoConsole與ContosoStore專案加入對ContosoClient的參考。