其他资源
除了上面的概述中介绍的内容外,还有许多其他内容可供选择。以下主题更详细地讨论了代码访问安全性:
Introduction to Code Access Security(英文)
Code Access Security(英文)
Security Namespaces in Visual Studio(英文)
Web 应用程序
解决 Web 应用程序的安全问题,可以保护您的服务器免受恶意代码的攻击,并保护数据不被破坏。您可以使用多种方法来保护服务器。
通过禁用 XML Web services 的动态发现功能来禁止用户查找和运行您的 XML Web services。
在允许用户访问服务器之前,通过身份验证来验证用户的标识。
通过使用 ASPNET 进程标识,可以更好地调整用户可以使用的资源。
下面将详细讨论每一种方法。
动态发现
动态发现是 .NET 框架的一项功能,它允许 Web 浏览器查找在服务器上运行的 XML Web services。找到 XML Web service 后,用户就可以调用该 XML Web services 的方法。动态发现虽然为用户提供了强大的功能,但同时也给服务器带来潜在的安全危险。多数情况下,您不需要启用动态发现功能。安装 .NET 框架时,动态发现在默认情况下处于禁用状态。这并不表示 XML Web services 不可用,而只表示服务器将不提供可用服务的目录。客户端仍然可以使用 XML Web services,但您需要向其提供该服务的确切位置。
警告:禁用动态发现后,您需要将 XML Web services 的位置发送给客户端。
在部署服务器上,有两个项可以控制 XML Web services 的发现功能。第一项(machine.config 文件)控制服务器的整体发现功能。machine.config 文件是一个包含控制服务器上 Web 应用程序的设置的 XML 文件,它位于 %windows%Microsoft.NETFrameworkVersionConfig 文件夹。此文件包含一个默认情况下被注释掉的元素。要启用发现功能,您需要删除这些注释字符。还需要使用 ASPNET 帐户来运行应用程序,如下一节“ASPNET 进程标识”中所述。