基于ASP.NET的Web网络应用程序开发的安全策略实践
Function EncrytPwd(Pwd as String,PwdFormat as String)
If PwdFormat="MD5" then
'下面一行得到用MD5算法加密后的字符串
EncrytPwd=FormsAuthentication.HashPasswordForStoringInConfigFile(Pwd,"MD5")
'下面一行得到用SHA1算法加密后的字符串
Else if PwdFormat="SHA1"then
EncrytPwd=FormsAuthentication.HashPasswordForStoringInConfigFile(Pwd,"SHA1")
End if
End Function
2.2.2 配置文件web.config 的安全设置
web.config文件是一个简单的XML文件,专门用于为应用程序配置系统设定、安全性设定、应用程序设定和会话设定。下面分5个内容介绍安全实践策略。
(1) 数据库连接字符串常量:Web应用程序网页要大量用到数据库连接,为了提高程序安全性、通用性和可移植性,在配置文件中设置数据库连接字符串常量是很好的方法,在应用程序的web.config文件中添加如下语句:
网页文件使用时,用下列代码实现数据库连接:
Dim strConn As String
strConn=ConfigurationSettings.AppSettings("sqlconntion ")'获取数据库连接字符串
(2) 认证和授权:HTML表单验证(Forms Authentication),是向开发人员提供确认客户凭证并控制访问权限的技术。在应用程序的web.config文件中添加如下语句:
授权:就是让用户拥有有效凭证,允许或拒绝访问Web应用程序。在web.config中添加如下语句:
(3) 虚拟路径的设置:不同用户对不同目录访问权限不同,可以设定虚拟目录来实现
(4) 设置调试模式提高安全策略:默认情况下,错误信息保存在栈中。如果开启调试模式,ASP.NET在运行中发生错误时,会显示错误行号,方便调试。可以在页面或web.config文件中开启调试模式。例如:
<%@ page debug=转贴于:范文网(www.fanwenchina.com)
共2页: 上一页 [1] 2 下一页
