Jon Galloway，Microsoft社区项目经理，帮助管理ASP.NET网站内容；Jon曾撰写MVC Music Store教程。
　　
　　Phil Haack，GitHub开发网站的开发人员，该网站目前拥有逾100万编程用户。
　　
　　Brad Wilson，ASP.NET团队的开发人员，拥有近20年的职业软件开发经验。

　　2.被动注入XSS通过向接收用户输入的网站中注入脚本代码来实现。一个典型例子就是博客，它允许用户提交自己的评论，如图7—11所示。如果有博客，我们就会知道表单中通常会有4个文本输入元素：姓名、e—mail地址、评论和URL。类似于这样的表单会让XSS黑客垂涎三尺，理由有两个一首先，他们知道表单中提交的输入内容会在站点上显示；其次，他们知道编码URL很麻烦，并且开发人员一般会把这些URL作为锚标记的一部分，所以通常隋况下开发人员不会对这些内容进行必要检查。可以毫不夸张地讲，黑客比我们要精明得多。尽管他们可能没有这么聪明，但是我们不妨这样想——来增强我们的防御警觉。攻击者首先查看站点是否对输入元素上的特定字符进行了编码。虽然对评论字段和姓名字段采取了安全措施，但是URL字段仍然存在注入脚本的可能性。为了说明这一点，我们向URL输入元素中输入任意一个查询字符串，如图7—12所示。这不是直接攻击，只是在URL中放入了一个“<”符号；如果对URL进行了HTML编码，URL中的“<”符号就会被“<”替换。因此，要知道是否对URL进行了HTML编码，只需要查看URL中的“<”符号是否替换成了“<”。下面提交评论，结果一切正常，如图7—13所示。尽管这样看起来没什么不妥之处，但是这已经向黑客暗示：注入脚本是可能的，这里没有针对输入URL的验证机制，来验证输入是否有效。如果查看页面的源代码，黑客们就会萌生强烈的XSS攻击想法，因为这里“一马平川”，没有对攻击设置任何障碍：ahref=“Noblog!Sorry：<”>Bob<／a>虽然这个危害看起来并不明显，但从黑客角度看却能造成很大危害。
　　……

第1章 入门
1.1 ASP.NET MVC简介
1.1.1 ASP.NET MVC如何适应ASP.NET
1.1.2 MVC模式简介
1.1.3 MVC在Web框架中的应用
1.1.4 ASP.NET MVC 4的发展历程
1.1.5 ASP.NET MVC 4概述
1.1.6 ASP.NET Web API
1.1.7 增强的默认项目模板
1.1.8 使用jQuery Mobile的移动项目模板
1.1.9 显示模式
1.1.10 捆绑和微小框架
1.1.11 包含开源库
1.1.12 其他功能
1.1.13 开源发布
1.2 创建ASP.NET MVC应用程序
1.2.1 创建ASP.NET MVC应用程序的软件要求
1.2.2 安装ASP.NET MVC 4
1.2.3 创建ASP.NET MVC应用程序
1.2.4 New ASP.NET MVC Project对话框
1.3 ASP.NET MVC应用程序的结构
1.4 小结

第2章 控制器
2.1 控制器的角色
2.2 示例应用程序：MVC Music Store
2.3 控制器基础
2.3.1 简单示例：Home Controller
2.3.2 创建第一个控制器
2.3.3 控制器操作中的参数
2.4 小结

第3章 视图
3.1 视图的作用
3.2 指定视图
3.3 强类型视图
3.4 视图模型
3.5 添加视图
3.6 Razor视图引擎
3.6.1 Razor的概念
3.6.2 代码表达式
3.6.3 HTML编码
3.6.4 代码块
3.6.5 Razor语法示例
3.6.6 布局
3.6.7 ViewStart
3.7 指定部分视图
3.8 小结

第4章 模型
4.1 为MVC Music Store建模
4.2 为商店管理器构造基架
4.2.1 基架的含义
4.2.2 基架和实体框架
4.2.3 执行基架模板
4.2.4 执行基架代码
4.3 编辑专辑
4.3.1 创建编辑专辑的资源
4.3.2 响应编辑时的POST请求
4.4 模型绑定
4.4.1 DefaultModelBinder
4.4.2 显式模型绑定
4.5 小结

第5章 表单和HTML辅助方法
5.1 表单的使用
5.1.1 action和method特性
5.1.2 GET方法还是POST方法
5.2 HTML辅助方法
5.2.1 自动编码
5.2.2 辅助方法的使用
5.2.3 HTML辅助方法的工作原理
5.2.4 设置专辑编辑表单
5.2.5 添加输入元素
5.2.6 辅助方法、模型和视图数据
5.2.7 强类型辅助方法
5.2.8 辅助方法和模型元数据
5.2.9 模板辅助方法
5.2.10 辅助方法和ModelState
5.3 其他输入辅助方法
5.3.1 Html.Hidden
5.3.2 Html.Password
5.3.3 Html.RadioButton
5.3.4 Html.CheckBox
5.4 渲染辅助方法
5.4.1 Html.ActionLink和Html.RouteLink
5.4.2 URL辅助方法
5.4.3 Html.Partial和Html.RenderPartial
5.4.4 Html.Action和Html.RenderAction
5.5 小结

第6章 数据注解和验证
6.1 为验证注解订单
6.1.1 验证注解的使用
6.1.2 自定义错误提示消息及其本地化
6.1.3 注解的后台原理
6.1.4 控制器操作和验证错误
6.2 自定义验证逻辑
6.2.1 自定义注解
6.2.2 IValidatableObject
6.3 显示和编辑注解
6.3.1 Display
6.3.2 ScaffoldColumn
6.3.3 DisplayFormat
6.3.4 ReadOnly
6.3.5 DataType
6.3.6 UIHint
6.3.7 HiddenInput
6.4 小结

第7章 成员资格、授权和安全性
7.1 使用Authorize特性登录
7.1.1 保护控制器操作
7.1.2 Authorize特性在表单身份验证和AccountController控制器中的用法
7.1.3 Intranet Application模板中的Windows Authentication
7.1.4 整个控制器的安全性
7.1.5 使用全局授权过滤器保障整个应用程序安全
7.2 要求角色成员使用Authorize特性
7.3 扩展角色和成员
7.4 通过OAuth和OpenID的外部登录
……

第8章 Ajax
第9章 路由
第10章 NuGet
第11章 ASP.NET Web API
第13章 单元测试
第14章 扩展ASP.NET MVC
第15章 高级主题
第16章 ASP.NET MVC实战：构建NuGet.org网站