web.config配置优化,防止aspxspy的非法权限

通过配置 web.config 可以限制 ASP.NET 代码访问安全性。统一显示错误页面等等,对安全ASP.NET网站的安全性起到一定的作用。

[php]

<system.web>
<!-- 关闭调试功能  -->
<compilation debug="false"/>
<authentication mode="Windows" />
<!--
如果在执行请求的过程中出现未处理的错误,
则通过 <customErrors> 节
可以配置相应的处理步骤。具体而言,
开发人员通过该节可配置要显示的 html 错误页,
以代替错误堆栈跟踪。
-->
<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm">
<error statusCode="403" redirect="NoAccess.htm" />
<error statusCode="404" redirect="FileNotFound.htm" />
</customErrors>
<!--
等级: level="[Full|High|Medium|Low|Minimal]"
Full: 无限制的权限。应用程序可访问任何属于操作系统安全范围的资源。支持所有的特权操作。
High: 不能调用未托管代码、调用服务组件、写入事件日志、访问 Microsoft 消息队列、访问 OLE DB 数据源
Medium: 除上述限制外,还限制访问当前应用程序目录中的文件,不允许访问注册表。
Low: 除上述限制外,应用程序不能与 SQL Server 连接,代码不能调用 CodeAccessPermission.Assert(无断言安全权限)。
Minimal: 仅有执行权限。
防止像aspxspy这类的大马,设置马Medium,基本上就没作用了。
-->
<trust level="Medium" originUrl=""/>
</system.web>

[/php]

微软官方网站相关文档:http://msdn.microsoft.com/zh-cn/aa302424.aspx#EMAA

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 66 queries in 0.380 seconds