当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 编辑web.config,保证ASP.NET的安全

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 编辑web.config,保证ASP.NET的安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 50 ::
收藏到网摘: n/a

 所有.NET的应用程序都将其信息保存在一个基于XML的配置文件里。一般来说,这个.config配置文件位于应用程序可执行文件的目录下。但是,Web应用程序会使用位于应用程序根目录下的web.config文件。用于ASP.NET应用程序的web.config包含的信息和其应用程序大多数的操作都相关。现在让我们剖析一个web.config示例文件,看看你会在其中找到哪些和安全相关的设置。


配置文件的设置和区段

首先,我们看一下Listing A里的配置文件的整体结构。这个文件作为XML文档必须有一个根元素把其他所有的元素都包括进来。很奇怪的是,在这里根元素是。在根元素之下是区段。这一区段会辨别它所包括的用于缺省Web服务器的信息,包括安全信息。这一区段放置着用于你应用程序的所有全局数据。我已经说过,数据库连接字符串能够被很好地保存下来。在我的例子里,我在那里保存了Web网站无DSN的ODBC连接字符串。


自定义错误页面

下的第一项是,它能够让你指定一些页面,以便在你的用户碰到各种错误的时候将他们引导到这些页面。在我的例子里,如果发生404错误,用户将被引导到/errorpages/FileNotFound.html页面。碰到任何其他错误的时候,用户会被引导到/errorpages/GeneralError.html页面。


验证

这一区段定义了服务器进行用户验证这一过程的细节。所支持的三种不同模式是Windows、Forms和Passport。现在我们来仔细看看每种模式:

Windows验证通过Windows的系统帐号来验证用户,例如活动目录(Active Directory)。Windows验证是最安全的验证形式,对于程序员来说这种模式是很简单的,因为整个过程都是由操作系统来处理的。但是,网站的每个用户都需要一个系统帐号,所以这种模式会被限制在企业内部网(intranet)的应用程序里。
Passport验证使用护照来验证用户,它是第二安全的验证方式。其最好的用武之地是大型的、活动的Internet电子商务应用程序,这些程序会验证用户的服务使用费。这种模式是.NET所选择的验证方法。
Forms验证是安全性最低的验证方法,因为必须要由你的应用程序自己来处理验证过程。但是,这是最有可能在你Internet应用程序上使用的模式,因为它所需要的管理和维护是最少的。

  查一下Listing A你就可以看到这个网站使用了Forms验证。你可以指定一个自己希望的域名。在这里,我使用的是.ASPXAUTH,其功能和名称其实是名不符实的。我只不过是把这个元素放进去,用以提醒我它的确有个名字。

  你还会看到,我已经为登录页面指定了相关的URL:/LoginForm.aspx。当用户试图访问一个安全页面时,无法通过验证的用户就会被引导到这个URL。匿名用户,如果你允许他们访问你的授权区域的话,就不会被自动送到这个页面。