跟我一起学 Visual Studio 2005(11):ASP.NET Web 应用程序安全 ---Level 200
活动日期: 2006-07-13 14:30 -- 16:00
主 讲: 徐长龙
________________________________________
Q:如果我想只对授权用户开放WEB服务,是否需要对WEB服务的所有方法都进行认证?有没有什么方便一
点的办法进行控制(除了使用证书)?如何能更好地提供服务端的工作效率?谢谢!
A:目前 Web 服务的身份认证只能采用 Windows 身份认证。Web Service 客户端在引用时可以输入相
关的凭据。
________________________________________
Q:未登录前可以访问注册页面吗?
A:当然可以,你可以将要经过身份认证的页面放在一个单独的目录,针对这个目录可以专门用配置文件
配置。
________________________________________
Q:如果别人拿到了加密的字符串也可以用aspnet_regiis -pdf命令解密吗?
A:不可以,一定要在本机加密,在本机才可以解密。
________________________________________
Q:请问:怎样减少会话的超时?
A:根据应用的不同,会话的时间也各有不同。
________________________________________
Q:老师如何确定什么样的项目做什么级别的安全?
A:建议所有的应用程序都做严格的安全设置。
________________________________________
Q:为什么IIS404错误控制不了。如果用IIS虚拟目录做网站的话。一定要用IIS的根目录做吗?
A:你可以使用自定义的错误代码指向自定义的错误页面。例如:
<customErrors mode="RemoteOnly">
<error statusCode="404" redirect="myNotFound.htm" />
</customErrors>
以上的配置,当请求一个在你的站台上不存在的文件时,会自动显示你站台中的 myNotFound.htm
页面。只有在 mode 设为 On,还有设为 RemoteOnly 在非本机请求时才会导向到自定义的错误页面。
________________________________________
Q:解密配置文件节点是不是所有管理员都能解,能否只有特定帐户可解?
A:只要有 Web.con!g 文件的修改权限的用户,都可以在本机解密。但一定要在本机。
________________________________________
Q:我想问一个不是很相关的问题:.Net下可以开发“数学公式计算机”和特殊符号,如:“微积分号”等的W
eb应用程序?
A:应该是可以的。计算主要是在后台来处理。
________________________________________
Q:怎样才能写好[用户输入验证]模块
A:写好,这个标准就不是很确定了,每一个公司,一个开发团队都会有不一样的标准来检验。但是校验
用户输入,在 Web 应用程序来讲,应该要结合客户端和服务端同时检验。
评论0