- 作者:zhaozj
- 发表时间:2020-12-23 10:38
- 来源:未知
在ASP.NET中创建安全的web站点 |
作者:不详 点击:4641 加入时间:2003-5-30 14:04:27 |
以前用ASP,PHP,JSP编写网站代码的时候,站点安全性总是一件头疼的事情,虽然我们编写了用户登录,注册,验证页面,但是效果总是不理想。有时候我们不得不用大量的session变量来存放相关信息,处处设防。而在.NET环境下,这个问题处理起来就非常容易了。关键是要充分理解web.config文件。首先,介绍一下web.config文件。 <?xml version="1.0" encoding="utf-8" ?><configuration> <system.web> <!-- 动态调试编译设置 compilation debug="true" 以将调试符号(.pdb 信息)插入到编译页中。因为这将创建执行起来较慢的大文件,所以应该只在调试时将该值设置为 true,而所有其他时候都设置为false。有关更多信息,请参考有关调试 ASP.NET 文件的文档。--><compilation defaultLanguage="vb" debug="true" /> <!-- 自定义错误信息设置 customErrors mode="On" 或 "RemoteOnly" 以启用自定义错误信息,或设置为 "Off" 以禁用自定义错误信息。为每个要处理的错误添加 <error> 标记。--><customErrors mode="RemoteOnly" /> <!-- 身份验证 此节设置应用程序的身份验证策略。可能的模式是 /“Windows/”、/“Forms/”、/“Passport/”和 /“None/”--><authentication mode="Windows" /> <!-- 授权 此节设置应用程序的授权策略。可以允许或拒绝用户或角色访问应用程序资源。通配符:"*" 表示任何人,"?" 表示匿名 (未授权的)用户。--><authorization><allow users="*" /> <!-- 允许所有用户 --> <!-- <allow users="[逗号分隔的用户列表]"roles="[逗号分隔的角色列表]"/><deny users="[逗号分隔的用户列表]"roles="[逗号分隔的角色列表]"/>--></authorization> <!-- 应用程序级别跟踪记录应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true",则跟踪信息将显示在每一页的底部。否则,可以通过从 Web 应用程序根浏览 "trace.axd" 页来查看 应用程序跟踪日志。--><trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" /> |