ASP网站制作之怎样设置平安的 ASP 使用程序
在实现ERP等高端的ASP应用时,用户需要提供核心的经营资料,需要ASP商有很高的信用度。楼上说交互性不好,太牵强了吧。在微软提供的一套框架中,利用asp做网站,开发效率高,使用人数少,减少不必要的开销。交互性是互动方式,是有开发人员决定的。平安|程序asp使用程序的平安万万不要不放在眼里准确设置平安设置的主要性。假如不准确设置平安设置,不仅会使您的asp使用程序蒙受不用要的改动,并且会妨害合法用户会见您的.asp文件。
web服务器供应了各类办法来回护您的asp使用程序免受未受权的会见和改动。在您读完本主题下的平安信息以后,请花必定的工夫细心反省一下您的windowsnt和web服务器平安性文档。具体信息,请参阅平安性。
---ntfs权限
您能够经由过程为独自的文件和目次使用ntfs会见权限来回护asp使用程叙文件。ntfs权限是web服务器平安性的基本,它界说了一个或一组用户会见文件和目次的分歧级别。当具有windowsnt无效帐号的用户试图会见一个有权限限定的文件时,盘算机将反省文件的会见把持表(acl)。该表界说了分歧用户和用户组所被付与的权限。假如用户的帐号具有翻开文件的权限,盘算机则同意该用户会见文件。比方,web服务器上的web使用程序的一切者必要有“变动”权限来检察、变动和删除使用程序的.asp文件。可是,会见该使用程序的大众用户应仅被授与“只读”权限,以便将其限定为只能检察而不克不及变动使用程序的web页。
---保护global.asa的平安
为了充实回护asp使用程序,必定要在使用程序的global.asa文件上为得当的用户或用户组设置ntfs文件权限。假如global.asa包括向扫瞄器前往信息的命令而您没有回护global.asa文件,则信息将被前往给扫瞄器,即使使用程序的其他文件被回护。有关设置ntfs权限的具体信息,请参阅会见把持。
注重:必定要对使用程序的文件使用一致的ntfs权限。比方,假如您不当心过分限定了一使用程序必要包括的文件的ntfs权限,则用户大概没法检察或运转该使用程序。为了避免此类成绩,在为您的使用程序分派ntfs权限之前应细心企图。
---web服务器权限
您能够经由过程设置您的web服务器的权限来限定一切用户检察、运转和操纵您的asp页的体例。分歧于ntfs权限供应的把持特定用户对使用程叙文件和目次的会见体例,web服务器权限使用于一切用户,而且不辨别用户帐号的范例。
关于要运转您的asp使用程序的用户,在设置web服务器权限时,必需遵守以下准绳:
对包括.asp文件的假造目次同意“读”或“剧本”权限。对.asp文件和其他包括剧本的文件(如.htm文件等)地点的虚目次同意“读”和“剧本”权限。对包括.asp文件和其他必要“实行”权限才干运转的文件(如.exe和.dll文件等)的虚目次同意“读”和“实行”权限。有关设置web服务器权限的具体信息,请参阅会见把持。
---剧本映照文件
使用程序的剧本映照包管了web服务器不会心外埠下载.asp文件的源代码。比方,即便您为包括了某个.asp文件的目次设置了“读”权限,只需该.asp文件从属于某个剧本映照使用程序,那末您的web服务器就不会将该文件的源代码前往给用户。
---cookie平安性
asp利用sessionidcookie跟踪使用程序会见或会话时代特定的web扫瞄器的信息。这就是说,带有响应的cookie的http哀求被以为是来自统一web扫瞄器。web服务器可使用sessionidcookies设置带有效户特定会话信息的asp使用程序。比方,假如您的使用程序是一个同意用户选择和购置cd唱盘的联机音乐商铺,就能够用sessionid跟踪用户周游全部使用程序时的选择。
---sessionid可否被黑客料中?
为了避免盘算机黑客料中sessionidcookie并取得对正当用户的会话变量的会见,web服务器为每一个sessionid指派一个随机天生号码。每当用户的web扫瞄器前往一个sessionidcookie时,服务器掏出sessionid和被付与的数字,接着反省是不是与存储在服务器上的天生号码分歧。若两个号码分歧,将同意用户会见会话变量。这一手艺的无效性在于被付与的数字的长度(64位),此长度使盘算机黑客料中sessionid从而夺取用户的举动会话的大概性几近为0。
---加密主要的sessionidcookie
截获了用户sessionidcookie的盘算机黑客可使用此cookie冒充该用户。假如asp使用程序包括公家信息,信誉卡或银行帐户号码,具有夺取的cookie的盘算机黑客就能够在使用程序中入手下手一个举动会话并猎取这些信息。您能够经由过程对您的web服务器和用户的扫瞄器间的通信链路加密来避免sessionidcookie被截获。有关加密的具体信息,请参阅平安性。
---利用身份考证机制回护被限定的asp内容
您能够请求每一个试图会见被限定的asp内容的用户必需要有无效的windowsnt帐号的用户名和暗码。每当用户试图会见被限定的内容时,web服务器将举行身份考证,即确认用户身份,以反省用户是不是具有无效的windowsnt帐号。
web服务器撑持以下几种身份考证体例:
基础身份考证提醒用户输出用户名和暗码。windowsnt哀求/呼应式身份考证从用户的web扫瞄器经由过程加密体例猎取用户身份信息。
但是,web服务器仅当克制匿名会见或windowsnt文件体系的权限限定匿名会见时才考证用户身份。具体信息,请参阅关于身份考证。
下一页
</p>写软件都是想的时间比写的时间要长的.如果反过来了就得看看是什么原因了.另外大家可以回去问问公司里的小MM.(一般企业里,跟你们交付软件接触得最多的是她们) 它可通过内置的组件实现更强大的功能,如使用A-DO可以轻松地访问数据库。 下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。 我就感觉到ASP和一些常用的数据库编程以及软件工程方面的思想是非常重要的。我现在也在尝试自己做网页,这其中就用到了ASP,我想它的作用是可想而知的。 没有坚实的理论做基础,那么我们连踏入社会第一步的资本都没有,特别对于计算机专业的学生学好专业知识是置关重要的。在这里我侧重讲一下如何学习ASP,从平时的学习过程中。 我可以结合自己的经验大致给你说一说,希望对你有所帮助,少走些弯路。 最近在学asp,不要问我为什么不直接学.net,因为公司网站是asp做的所以有这个需要,卖了本书asp入门到精通,对里面的六大内置对象老是记不住,还有很多属性和方法看的头晕。 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。 不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍 他的语法和设计思路和VB完全相同,导致很多ASP的书都留一句“相关内容请参考VB的相关教材....”更糟糕的是,相当多的ASP教程混合了Javascript,VBscript等等脚本语言,搞的初学者。
页:
[1]