Seguridad relacionada Web.config

web.config en la raíz

1, nodo de autenticación

< system.web >

<! - Configuración el modo de autenticación de seguridad de ASP.NET utiliza para identificar a un usuario entrante. - >

< modo de autenticación = " Forms " >

< formas loginUrl = " ~ /usuario /Login.aspx " name = " .ASPXAUTH " defaultUrl = " de usuario /Default.aspx " tiempo de espera = " 30 " path = " /" />

< /autenticación >

autenticación basada en formularios (formas) de verificar configurar el sitio, cuando el usuario no está registrado en el acceso requiere la autenticación de la página, la página saltar automáticamente a la página de destino. LoginUrl elemento que representa el nombre de la página de destino, el nombre representa el nombre de Cookie

2, nodo de autorización

<! - Configurar una autorización de la aplicación Web para controlar el acceso del cliente a los recursos de URL . - >

< autorización >

< permiten a los usuarios = " * " />

< denegar a los usuarios = " " /? >

< /autorización >

permitir la asignación de regla de autorización para agregar una regla que permita el acceso al recurso.

reglas de denegación de autorización para agregar una regla de asignación para negar la autorización para acceder al recurso.

Los usuarios = " * " se refiere a cualquier usuario user = " " se refiere a los usuarios autenticados

Nota :? módulo de autorización de ejecución de archivos de configuración más locales de iniciar, iterar permitir y negar los elementos hasta que encuentra la primera regla de acceso para una cuenta de usuario específica. Entonces, el primer módulo de autorización de acceso de acuerdo a las reglas del hallazgo es permitir o denegar reglas para permitir o denegar el acceso a los recursos de URL. Predeterminado regla < autorización; permiten a los usuarios = " * " />. Por lo tanto, por defecto, permitir el acceso a menos que se configure de otra.

Si el web.config en el directorio raíz es demasiado complicado, se puede configurar en el directorio adecuado, por ejemplo web.config archivo

en el directorio de usuario 3, el nodo customErrors

< customErrors mode = " apagado " >

< /customErrors >

< customErrors defaultRedirect = " URL "

modo = " En | off | RemoteOnly " >

< error ./> ..

< /customErrors >

defaultRedirect atributos opcionales. Especificar el navegador por defecto para el error URL. Si no se especifica la propiedad, se muestra un error genérico.

atributos modo deseado. Especifica si se debe habilitar o deshabilitar errores personalizados, o sólo muestran error personalizado a un cliente remoto.

Este atributo puede ser uno de estos valores.

Valor Descripción

En los errores personalizados especificados están habilitadas. Si defaultRedirect no se especifica, el usuario verá un error genérico.

No especifica para desactivar el error personalizado. Esto permite la visualización estándar de error detallado.

RemoteOnly designado sólo para clientes remotos muestran un error de ASP.NET personalizada y mostrar un error al host local. Este es el valor por defecto.

El valor predeterminado RemoteOnly.

Error de elemento opcional. Asignado a un error personalizado página Establecer códigos de estado HTTP. indicador de error puede aparecer varias veces. Ambos definen una condición de error personalizado se produce cada etiqueta hijo.

Por ejemplo:

< modo customErrors = " RemoteOnly " defaultRedirect = " ~ /Preguntar /GenericError.htm " >

< error statusCode = " 403 " redirigir = " ~ /Preguntar /NoAccess.htm " />

< error statusCode = " 404 " redirigir = " ~ /Preguntar /FileNotFound.htm " />

< error statusCode = " 500 " redirigir = " ~ /Preguntar /GenericError.htm " />

< /customErrors >

aquí permite a los usuarios personalizar página de error.

4, páginas nodo

< - p valores de configuración específicos definidos a nivel mundial, tales como la página ASP.NET y control instrucciones de la gama de perfil!. - >

< páginas validateRequest = " verdadero " StyleSheetTheme = " UserDefaultTheme " >

validateRequest = " verdadero "

Este valor determina el ASP. NET cheque si la entrada desde el navegador de valores peligrosos. Si el ASP.NET comprobar el valor de la entrada desde el navegador de peligro, entonces la verdadera, de lo contrario falso. El valor predeterminado es true.

Esta función es prevenir cross-site scripting y otros códigos peligrosos. El valor predeterminado global es cierto. Sólo la página decimales, tales como página de búsqueda

Search.aspx establece: ValidateRequest = " ". falsa Para poder buscar similares < div > etc., si Search.aspx sólo la entrada de texto, la página puede ser modificado siempre para mejorar la seguridad del sistema.

instrucciones de configuración Security.config

archivo de configuración ubicado en el directorio

1, entre bastidores del acceso a la página de configuración

noCheckAdminLogOn

No verificar los antecedentes permisos página

< modo de noCheckAdminLogOn = " OnlyList " >

< URL de la página = " ~ /admin /Login.aspx " /> <! --- fondo la página de inicio de sesión - >

< URL de la página = " ~ /admin /Preguntar /ShowError.aspx " /> < --- página de error de fondo - >!

< /noCheckAdminLogOn >

2, la estación de inspección enlace de vuelta configuración de la página exterior

noCheckUrlReferrer

fondo-fuente lista de páginas no está marcada, el usuario puede acceder directamente al administrador es decir lista de archivos. El fondo es la configuración por defecto no permite el acceso directo, por lo que puede proteger a las páginas después de páginas de acceso no autorizado y el acceso a enlaces fuera de las instalaciones, para prevenir con eficacia a través del sitio de falsificación de petición.

< modo de noCheckUrlReferrer = " OnlyList " >

< /noCheckUrlReferrer >

Si el archivo no está en la lista, puede acceder directamente en la URL, aparece el mensaje de error :

posibles causas de error:

lo siento, para la seguridad del sistema, no se les permite entrar en la dirección directamente a la parte posterior de la página de administración del sistema.

Si lo desea, el usuario puede añadir contenido personalizado.

3, a través del sitio de falsificación de petición en la prevención de la página de configuración adicional código de seguridad

checkSecurityCode

cuando se envía la página para comprobar un código de seguridad.

impedir el funcionamiento normal (malicioso) causar pérdidas significativas en el sistema. También algún tipo de protección importante contra las operaciones de petición en sitios cruzados falsificación.

como :?

< página url = " ~ /admin /Contenidos /ModelManage.aspx Action = Eliminar " />

< URL de la página = "? ~ /admin /Contenidos /ModelManage.aspx Action = Eliminar " />

4, página de códigos de autorización de funcionamiento dispuesto

checkPermissions