ASP.NET提供了一个多层的安全模型,这个模型能够非常容易的保护Web应用程序。 安全策略没有必要非常复杂,但是需要应用安全策略的地方却是非常广泛的。程序员需要保证自己的应用程序不能被骗取,而把私有信息发送出去。限制访问的文件类型 ASP.NET自动提供一个基本的安全策略来 ...
get='_blank'>ASP.NET提供了一个多层的安全模型,这个模型能够非常容易的保护Web应用程序。
安全策略没有必要非常复杂,但是需要应用安全策略的地方却是非常广泛的。程序员需要保证自己的应用程序不能被骗取,而把私有信息发送出去。
限制访问的文件类型
ASP.NET自动提供一个基本的安全策略来阻止对特定文件的访问请求。ASP.NET向IIS注册这些文件类型,并把它们配置给IIS中的一个类HttpForbiddenHandler,这个类在它的生命周期中只有一个作用,就是拒绝所有向配置到它里面的文件发送请求。
被限制访问的文件类型如下:
1..asax:全局文件,提供了一些在一个中心位置响应应用程序级或模块级事件的方法。
2..asc:Web服务文件,提供Web服务。
3..config:配置文件,提供应用程序的配置。
4..cs:源代码文件,由C#编写。
5..csproj:C#项目文件,控制C#项目的生成。
6..vb:源代码文件,由VB编写。
7..vbproj:VB项目文件,控制VB项目的生成。
8..resx:资源文件,主要用于存储各个版本的资源。
9..resources:受控资源文件,可以存放位图、子串和自定义数据等资源。
安全概念
安全有三种最基本的概念。
1. 认证(Authentication):这个过程是要确定一个用户的身份以及迫使用户证明他们是谁。通常这些Windows用户账户被存储在一个文件或后端数据库中。
2. 授权(Authorization):一旦一个用户通过认证,授权的过程就是确定用户是否有足够的权限来执行某一行为。通常,Windows设定授权检测。
3. 模拟(Impersonation):所有代码都运行在一个固定的账户下,这个账户被定义在machine.config文件里。而模拟允许一部分代码运行在一个不同的身份之下。授权和认证是创建一个安全网站的两个基石。
安全策略
IIS和ASP.NET的安全设置可以有几种互动的方式,在实际操作中,程序员可以把以下两个中心策略添加到ASP.NET安全机制中:
- 允许无身份的用户,使用ASP.NET表单认证模型来保证网站的安全。
- 禁止无身份的用户,使用IIS认证来强迫每个用户来使用集成的Windows认证。
表单认证
ASP.NET支持尖端验证算法,这种算法使得用户无法骗取自己的Cookie或试图欺骗应用程序以使他们进入。
为了实现基于表单的安全,需要按照以下三个步骤进行操作:
1.在Web.config文件里设置认证模型。
2.限制无身份的用户访问应用程序中的特定页或地址。
3.创建一个登录页面。
Web.config设置
可以在Web.config文件里使用<authentication>节来定义网站的安全性。
1 <configuaration>2 <system.web>3 <authentication mode=”Forms”>4 <forms name=”myCookies” loginUrl=”../Login.aspx” protection=”All” timeout=”50” path=”/” />5 </authentication>6 </system.web>7 </configuaration>
海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理:https://www.xlkjsw.com
原标题:Web程序安全机制
关键词:web
*特别声明:以上内容来自于网络收集,著作权属原作者所有,如有侵权,请联系我们:
admin#shaoqun.com
(#换成@)。