仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 631|回复: 8
打印 上一主题 下一主题

[学习教程] ASP教程之ASP使用程序的平安

[复制链接]
活着的死人 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 22:26:06 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
缺乏可以共同遵循的行业标准,ASP还处在发展初期,大家对它的理解不同,如产品和服务标准,收费标准等,不利于行业的健康发展。万万不要不放在眼里准确设置平安设置的主要性。假如不准确设置平安设置,不仅会使您的ASP使用程序蒙受不用要的改动,并且会妨害合法用户会见您的.asp文件。  Web服务器供应了各类办法来回护您的ASP使用程序免受未受权的会见和改动。在您读完本主题下的平安信息以后,请花必定的工夫细心反省一下您的WindowsNT和Web服务器平安性文档。
NTFS权限
  您能够经由过程为独自的文件和目次使用NTFS会见权限来回护ASP使用程叙文件。NTFS权限是Web服务器平安性的基本,它界说了一个或一组用户会见文件和目次的分歧级别。当具有WindowsNT无效帐号的用户试图会见一个有权限限定的文件时,盘算机将反省文件的会见把持表(ACL)。该表界说了分歧用户和用户组所被付与的权限。假如用户的帐号具有翻开文件的权限,盘算机则同意该用户会见文件。比方,Web服务器上的Web使用程序的一切者必要有“变动”权限来检察、变动和删除使用程序的.asp文件。可是,会见该使用程序的大众用户应仅被授与“只读”权限,以便将其限定为只能检察而不克不及变动使用程序的Web页。
保护Global.asa的平安
  为了充实回护ASP使用程序,必定要在使用程序的Global.asa文件上为得当的用户或用户组设置NTFS文件权限。假如Global.asa包括向扫瞄器前往信息的命令而您没有回护Global.asa文件,则信息将被前往给扫瞄器,即使使用程序的其他文件被回护。
注重 必定要对使用程序的文件使用一致的NTFS权限。比方,假如您不当心过分限定了一使用程序必要包括的文件的NTFS权限,则用户大概没法检察或运转该使用程序。为了避免此类成绩,在为您的使用程序分派NTFS权限之前应细心企图。
Web服务器权限
  您能够经由过程设置您的Web服务器的权限来限定一切用户检察、运转和操纵您的ASP页的体例。分歧于NTFS权限供应的把持特定用户对使用程叙文件和目次的会见体例,Web服务器权限使用于一切用户,而且不辨别用户帐号的范例。

  关于要运转您的ASP使用程序的用户,在设置Web服务器权限时,必需遵守以下准绳:
  ・对包括.asp文件的假造目次同意“读”或“剧本”权限。 
  ・对.asp文件和其他包括剧本的文件(如.htm文件等)地点的虚目次允
许“读”和“剧本”权限。 
  ・对包括.asp文件和其他必要“实行”权限才干运转的文件(如.exe和
.dll文件等)的虚目次同意“读”和“实行”权限。 
剧本映照文件
  使用程序的剧本映照包管了Web服务器不会心外埠下载.asp文件的源代码
。比方,即便您为包括了某个.asp文件的目次设置了“读”权限,只需该.as
p文件从属于某个剧本映照使用程序,那末您的Web服务器就不会将该文件的源
代码前往给用户。
Cookie平安性
  ASP利用SessionIDcookie跟踪使用程序会见或会话时代特定的Web扫瞄
器的信息。这就是说,带有响应的cookie的HTTP哀求被以为是来自统一Web
扫瞄器。Web服务器可使用SessionIDcookies设置带有效户特定会话信息
的ASP使用程序。比方,假如您的使用程序是一个同意用户选择和购置CD唱盘
的联机音乐商铺,就能够用SessionID跟踪用户周游全部使用程序时的选择。

SessionID可否被黑客料中?
  为了避免盘算机黑客料中SessionIDcookie并取得对正当用户的会话变量
的会见,Web服务器为每一个SessionID指派一个随机天生号码。每当用户的We
b扫瞄器前往一个SessionIDcookie时,服务器掏出SessionID和被付与的数
字,接着反省是不是与存储在服务器上的天生号码分歧。若两个号码分歧,将同意
用户会见会话变量。这一手艺的无效性在于被付与的数字的长度(64位),此长
度使盘算机黑客料中SessionID从而夺取用户的举动会话的大概性几近为0。

加密主要的SessionIDCookie
  截获了用户sessionIDcookie的盘算机黑客可使用此cookie冒充该用
户。假如ASP使用程序包括公家信息,信誉卡或银行帐户号码,具有夺取的co
okie的盘算机黑客就能够在使用程序中入手下手一个举动会话并猎取这些信息。您可
以经由过程对您的Web服务器和用户的扫瞄器间的通信链路加密来避免SessionID 
cookie被截获。
利用身份考证机制回护被限定的ASP内容
  您能够请求每一个试图会见被限定的ASP内容的用户必需要有无效的Window
sNT帐号的用户名和暗码。每当用户试图会见被限定的内容时,Web服务器将进
行身份考证,即确认用户身份,以反省用户是不是具有无效的WindowsNT帐号。

Web服务器撑持以下几种身份考证体例:
  ・基础身份考证 提醒用户输出用户名和暗码。 
  ・WindowsNT哀求/呼应式身份考证  从用户的Web扫瞄器经由过程加密体例
猎取用户身份信息。 
  但是,Web服务器仅当克制匿名会见或WindowsNT文件体系的权限限定匿
名会见时才考证用户身份。
回护元数据库
  会见元数据库的ASP剧本必要Web服务器所运转的盘算机的办理员权限。
在从远程盘算机上运转这些剧本时,须经已经由过程身份考证的毗连,如利用Windo
wsNT哀求/呼应考证体例举行毗连。应当为办理级.asp文件创立一个服务器或
目次并将其目次平安考证体例设置为WindowsNT哀求/呼应式身份考证。今朝,
仅MicrosoftInternetExplorerversion2.0或更高版本撑持WindowsNT请
求/呼应式身份考证。
利用SSL保护使用程序的平安
  SecureSocketsLayer(SSL)3.0协定作为Web服务器平安特征,供应了
一种平安的假造通明体例来创建与用户的加密通信毗连。SSL包管了Web内容的
考证,并能牢靠地确认会见被限定的Web站点的用户的身份。
  经由过程SSL,您能够请求试图会见被限定的ASP使用程序的用户与您的服务器
创建一个加密毗连;以防用户与使用程序间互换的主要信息被截取。 
保护包括文件的平安
  假如您从位于没有回护的假造根目次中的.asp文件中包括了位于启用了S
SL的目次中的文件,则SSL将不被使用于被包括文件。因而,为了包管使用S
SL,应确保包括及被包括的文件都位于启用了SSL的目次中。
客户资历认证
  把持对您的ASP使用程序会见的一种非常平安的办法是请求用户利用客户资
咯噔录。客户资历是包括用户身份信息的数字身份证,它的感化与传统的诸如护
照或驾驶执照等身份证实不异。用户一般从托付的第三方构造取得客户资历,第
三方构造在发放资历证之前确认用户的身份信息。(一般,这类构造请求姓名、
地点、德律风号码及地点构造称号;此类信息的具体水平随赐与的身份品级而异。

  每当用户试图登录到必要资历考证的使用程序时,用户的Web扫瞄器会主动
向服务器发送用户资历。假如Web服务器的SecureSocketsLayer(SSL)资历
映照特征设置准确,那末服务器就能够在允许用户对ASP使用程序会见之前对其
身份举行确认。
用于处置资历证实的ASP剧本
  作为ASP使用程序开辟职员,您能够编写剧本来反省资历是不是存在并读取资
格字段。比方,您能够从资历证实中会见用户名字段和公司名字段。ActiveSer
verPages在Request工具的ClientCertificate汇合中保留资历信息。
  必需将Web服务器设置为承受或必要客户资历,然后才干经由过程ASP处置客
户资历;不然,ClientCertificate汇合将为空。

asp可以轻松地实现对页面内容的动态控制,根据不同的浏览者,显示不同的页面内容。而浏览者一点觉察不出来,就像为他专门制作的页面一样。使用各种各样的组件,asp可以完成无比强大的功能。
飘飘悠悠 该用户已被删除
沙发
发表于 2015-1-19 12:00:05 | 只看该作者
代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。
活着的死人 该用户已被删除
板凳
 楼主| 发表于 2015-1-25 20:29:06 | 只看该作者
兴趣爱好,那么你无须学编程,申请一个域名和空间,在网上下载一些免费开源的CMS系统,你不用改代码,只须熟悉它们的后台操作,像office一样简单方便,很快就能建一个站点,很多站长都是这样做的
谁可相欹 该用户已被删除
地板
发表于 2015-2-3 22:15:05 | 只看该作者
还有如何才能在最短的时间内学完?我每天可以有效学习2小时,双休日4小时。
因胸联盟 该用户已被删除
5#
发表于 2015-2-9 05:58:55 | 只看该作者
不是很难但是英文要有一点基础网上的教程很少有系统的详细的去买书吧,另不用专门学习vb关于vbscript脚本在asp教材都有介绍
冷月葬花魂 该用户已被删除
6#
发表于 2015-2-27 02:16:44 | 只看该作者
作为IE上广为流传的动态网页开发技术,ASP以它简单易学博得了广大WEB程序爱好这的青睐,而且它对运行环境和开发品台的不挑剔,以及有大量有效的参考手册,极大的推广了它的发展。
愤怒的大鸟 该用户已被删除
7#
发表于 2015-3-8 19:11:36 | 只看该作者
跟学别的语言一样,先掌握变量,流程控制语句(就是ifwhileselect)等,函数/过程,数组
8#
发表于 2015-3-16 12:25:46 | 只看该作者
代码的可重用性差:由于是面向结构的编程方式,并且混合html,所以可能页面原型修改一点,整个程序都需要修改,更别提代码重用了。
若天明 该用户已被删除
9#
发表于 2015-3-22 23:00:59 | 只看该作者
以HTML语言整合(HTML负责界面上,ASP则负责功能上)形成一个B/S(浏览器/服务器)模式的网页程序。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-24 10:33

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表