以前用ASPPHPJSP编写网站代码的时候站点安全性总是一件头疼的事情虽然我们编写了用户登录注册验证页面但是效果总是不理想有时候我们不得不用大量的session变量来存放相关信息处处设防而在NET环境下这个问题处理起来就非常容易了关键是要充分理解webconfig文件首先介绍一下webconfig文件
<?xml version= encoding=utf ?>
<configuration>
<systemweb>
<! 动态调试编译
设置 compilation debug=true 以将调试符号(pdb 信息)
插入到编译页中因为这将创建执行起来
较慢的大文件所以应该只在调试时将该值设置为 true而所有其他时候都设置为
false有关更多信息请参考有关
调试 ASPNET 文件的文档
>
<compilation defaultLanguage=vb debug=true />
<! 自定义错误信息
设置 customErrors mode=On 或 RemoteOnly
以启用自定义错误信息或设置为 Off 以禁用自定义错误信息
为每个要处理的错误添加 <error> 标记
>
<customErrors mode=RemoteOnly />
<! 身份验证
此节设置应用程序的身份验证策略可能的模式是 \Windows\
\Forms\\Passport\和 \None\
>
<authentication mode=Windows />
<! 授权
此节设置应用程序的授权策略可以允许或拒绝用户或角色访问
应用程序资源通配符* 表示任何人? 表示匿名
(未授权的)用户
>
<authorization>
<allow users=* /> <! 允许所有用户 >
<! <allow users=[逗号分隔的用户列表]
roles=[逗号分隔的角色列表]/>
<deny users=[逗号分隔的用户列表]
roles=[逗号分隔的角色列表]/>
>
</authorization>
<! 应用程序级别跟蹤记录
应用程序级别跟蹤在应用程序内为每一页启用跟蹤日志输出
设置 trace enabled=true 以启用应用程序跟蹤记录如果 pageOutput=true则
跟蹤信息将显示在每一页的底部否则可以通过从 Web 应用程序
根浏览 traceaxd 页来查看
应用程序跟蹤日志
>
<trace enabled=false requestLimit= pageOutput=false
traceMode=SortByTime localOnly=true />
<! 会话状态设置
默认情况下ASPNET 使用 cookie 标识哪些请求属于特定的会话
如果 cookie 不可用则可以通过将会话标识符添加到 URL 来跟蹤会话
若要禁用 cookie请设置 sessionState cookieless=true
>
<sessionState
mode=InProc
stateConnectionString=tcpip=:
sqlConnectionString=data source=;user id=sa;password=
cookieless=false
timeout=
/>
<! 全球化
此节设置应用程序的全球化设置
>
<globalization requestEncoding=utf responseEncoding=utf />
</systemweb>
</configuration>
[] [] [] []
![在ASP.NET中创建安全的web站点[1]](/UploadFiles/5.jpg)