减小字体
增大字体- ·上一篇内容:编写跨平台的ASP程序
- ·下一篇内容:如何提高ASP页面的执行效率
教你如何维护ASP应用程序的安全
使用身份验证机制保护被限制的 ASP 内容
您可以要求每个试图访问被限制的 ASP 内容的用户必须要有有效的 Windows NT 帐号的用户名和密码。每当用户试图访问被限制的内容时,Web 服务器将进行身份验证,即确认用户身份,以检查用户是否拥有有效的 Windows NT 帐号。
Web 服务器支持以下几种身份验证方式:
基本身份验证 提示用户输入用户名和密码。
Windows NT 请求/响应式身份验证 从用户的 Web 浏览器通过加密方式获取用户身份信息。然而,Web 服务器仅当禁止匿名访问或 Windows NT 文件系统的权限限制匿名访问时才验证用户身份。
保护元数据库
访问元数据库的 ASP 脚本需要 Web 服务器所运行的计算机的管理员权限。在从远程计算机上运行这些脚本时,须经已通过身份验证的连接,如使用 Windows NT 请求/响应验证方式进行连接。应该为管理级 .asp 文件创建一个服务器或目录并将其目录安全验证方式设置为 Windows NT 请求/响应式身份验证。目前,仅 Microsoft Internet Explorer 2.0 或更高版本支持 Windows NT 请求/响应式身份验证。
使用 SSL 维护应用程序的安全
Secure Sockets Layer (SSL) 3.0 协议作为 Web 服务器安全特性,提供了一种安全的虚拟透明方式来建立与用户的加密通讯连接。SSL 保证了 Web 内容的验证,并能可靠地确认访问被限制的 Web 站点的用户的身份。
通过 SSL,您可以要求试图访问被限制的 ASP 应用程序的用户与您的服务器建立一个加密连接;以防用户与应用程序间交换的重要信息被截取。
维护包含文件的安全
如果您从位于没有保护的虚拟根目录中的 .asp 文件中包含了位于启用了 SSL 的目录中的文件,则 SSL 将不被应用于被包含文件。因此,为了保证应用 SSL,应确保包含及被包含的文件都位于启用了 SSL 的目录中。
客户资ge认证
控制对您的 ASP 应用程序访问的一种十分安全的方法是要求用户使用 客户资ge 登录。客户资ge是包含用户身份信息的数字身份证,它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第三方组织获得客户资ge,第三方组织在发放资ge证之前确认用户的身份信息。(通常,这类组织要求姓名、地址、电话号码及所在组织名称;此类信息的详细程度随给予的身份等级而异。)
每当用户试图登录到需要资ge验证的应用程序时,用户的 Web 浏览器会自动向服务器发送用户资ge。如果 Web 服务器的 Secure Sockets Layer (SSL) 资ge映射特性配置正确,那么服务器就可以在许可用户对 ASP 应用程序访问之前对其身份进行确认。
用于处理资ge证明的 ASP 脚本
作为 ASP 应用程序开发人员,您可以编写脚本来检查资ge是否存在并读取资ge字段。例如,您可以从资ge证明中访问用户名字段和公司名字段。Active Server Pages 在 Request 对象的 ClientCertificate 集合中保存资ge信息。 必须将 Web 服务器配置为接受或需要客户资ge,然后才能通过 ASP 处理客户资ge;否则,ClientCertificate 集合将为空。
- 给好评 如果您觉得此知识好,就请您
0%(0) 
- 给差评 如果您觉得此知识差,就请您
0%(0) 
评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论