开发安全可靠的ASP.NET 3.5应用程序--涵盖C#和VB.NET
点击看大图基本信息
内容简介回到顶部↑
本书全面介绍asp.net 2.0和asp.net 3.5安全主题。它首先介绍信任级别、表单身份验证、会话状态、网页安全和配置系统安全等概念,然后讨论成员资格和角色管理器以及集成ajax 3.5和asp.net 3.5安全的方法,并在最后陈述asp.n.et开发人员应该遵循的最佳开发实践。
为了编写无懈可击的asp.net应用程序,开发人员必须深入了解web安全、部分信任环境中的开发、表单身份验证、确保配置安全以及其他许多必需的asp.net安全概念。这本面向asp.net开发人员的精品书籍详细描述web应用程序开发过程中涉及的每个重要安全领域,介绍普通asp.net安全知识,还讨论了asp.net 3.5的新增功能和改进功能。
《开发安全可靠的asp.net 3.5应用程序——涵盖c#和vb.net》浓墨重彩地介绍iis 7.0的重要安全功能和新功能,详细讨论请求生命周期,透彻解释ajax身份验证和授权,深入分析asp.net会话状态、成员资格及角色管理,为您使用c#或vb语言开发安全可靠的asp.net 3.5网站奠定坚实基础。
主要内容
◆开发安全asp.net应用程序(包括防范ajax威胁)的最佳实践
◆如何安全读写asp.net配置文件
◆集成asp.net和经典asp安全的技术
◆开发阶段和托管阶段的各种asp.net信任级别
◆各种asenet模块处理请求时的相关安全上下文
◆表单身份验证和会话状态的安全功能
◆如何结合使用activedirectory与成员资格和角色管理器功能
读者对象
本书主要面向使用c#或vb语言开发asp.net web应用程序的有经验的asp.net开发人员。
为了编写无懈可击的asp.net应用程序,开发人员必须深入了解web安全、部分信任环境中的开发、表单身份验证、确保配置安全以及其他许多必需的asp.net安全概念。这本面向asp.net开发人员的精品书籍详细描述web应用程序开发过程中涉及的每个重要安全领域,介绍普通asp.net安全知识,还讨论了asp.net 3.5的新增功能和改进功能。
《开发安全可靠的asp.net 3.5应用程序——涵盖c#和vb.net》浓墨重彩地介绍iis 7.0的重要安全功能和新功能,详细讨论请求生命周期,透彻解释ajax身份验证和授权,深入分析asp.net会话状态、成员资格及角色管理,为您使用c#或vb语言开发安全可靠的asp.net 3.5网站奠定坚实基础。
主要内容
◆开发安全asp.net应用程序(包括防范ajax威胁)的最佳实践
◆如何安全读写asp.net配置文件
◆集成asp.net和经典asp安全的技术
◆开发阶段和托管阶段的各种asp.net信任级别
◆各种asenet模块处理请求时的相关安全上下文
◆表单身份验证和会话状态的安全功能
◆如何结合使用activedirectory与成员资格和角色管理器功能
读者对象
本书主要面向使用c#或vb语言开发asp.net web应用程序的有经验的asp.net开发人员。
作译者回到顶部↑
本书提供作译者介绍
Bilal Haidar毕业于黎巴嫩美国大学,拥有计算机工程工学学士学位和计算机科学理学学士学位。Bilal在www.aspalliance.com、www.code-magazrne.com和www.aspnetpro.com等网站发表了多篇论文,是ASP.NET论坛声誉卓著的最佳作者之一。Bilal从2004年开始成为Microsoft ASP.NET领域的MVP,并荣获微软认证培训师资格。Bil8,目前担任Consolidated Contractors公司的高级开发人员。Bilal的个人博客是http://www.bhaider.net,他在此与大众交流极富价值的技术经验。
.. << 查看详细
.. << 查看详细
目录回到顶部↑
第1章 iis 7.0介绍
1.1 iis 7.0概述
1.2 应用程序池
1.3 iis 7.0组件
1.4 iis 7.0模块
1.5 本章小结
第2章 iis 7.0和asp.net的integrated模式
2.1 iis 7.0和asp.net的integrated模式的优点
2.2 iis 7.0新增的integrated模式的架构
2.3本章小结
第3章 iis 7.0的integrated模式中的http请求处理
3.1 内置的iusr帐户和iis iusrs组
3.2 在integrated模式中针对每个请求的安全控制
3.3 统一的处理管道
3.4 本章小结
第4章 信任问题
4.1 asp.net信任级别的含义
4.2 本章小结
第5章 配置系统的安全
5.1 使用[location/]元素
1.1 iis 7.0概述
1.2 应用程序池
1.3 iis 7.0组件
1.4 iis 7.0模块
1.5 本章小结
第2章 iis 7.0和asp.net的integrated模式
2.1 iis 7.0和asp.net的integrated模式的优点
2.2 iis 7.0新增的integrated模式的架构
2.3本章小结
第3章 iis 7.0的integrated模式中的http请求处理
3.1 内置的iusr帐户和iis iusrs组
3.2 在integrated模式中针对每个请求的安全控制
3.3 统一的处理管道
3.4 本章小结
第4章 信任问题
4.1 asp.net信任级别的含义
4.2 本章小结
第5章 配置系统的安全
5.1 使用[location/]元素
译者序回到顶部↑
随着Windows Server操作系统在企业环境中的广泛使用,目前,随Windows Vista和Windows Server 2008一同发行的IIS 7.0已经成为一种广泛应用的Web服务器,IIS 7.0能够与ASP.NET很好地集成,统一了请求的处理方式。IIS 7.0使ASP.NET 2.0和ASP.NET 3.5成为一种能够支持Web服务器扩展的可扩展框架。因此,如何使用ASP.NET提供的核心安全技术来保证ASP.NET应用程序的安全已经得到了广泛的重视。
本书深入详细地介绍了开发安全ASP.NET应用程序的理论和最佳实践,还介绍了ASP.NET各项功能的内部工作原理,并强调了如何通过编程方式开发可靠安全的ASP.NET应用程序,而且给出了大量的代码示例,同时还强调了如何合理地选择方案,确保ASP.NET.应用程序能够安全地工作。
本书面向ASP.NET开发人员,针对ASP.NET开发人员常见的安全问题,对ASP.NET安全领域中的主要内容进行了详细介绍。为了阅读本书,ASP.NET开发人员应该具备用VB语言或C#语言开发ASP.NET Web应用程序的经验。通过学习本书内容,ASP.NET开发人员能够深入完整地掌握ASP.NET安全领域的开发技术,深刻理解与IIS 7.0和ASP.NET安全有关的技术基础,在开发基于IlS 7.0和ASP.NET应用程序的过程中,能够对安全问题应付自如。
在翻译本书过程中,我们感到作者对如何开发出可靠安全的ASP.NET应用程序认识得极为深刻,特别是,作者的讨论时刻不偏离安全的ASP.NET应用程序开发背后最为重要的概念,不仅解释了如何解决开发过程中遇到的问题,还强调了采纳每种技术的前因后果,以及如何有机地使用ASP.NET提供的各项安全基础设施,这也是本书与其他介绍ASP.NET安全的技术书籍的最大区别,也是本书的技术亮点所在。我们相信读者在阅读本书之后一定会得出同样的结论。
在本书的翻译过程中,我们本着对读者认真负责的精神,力求做到技术内涵的准确无误和专业术语的规范统一,力求做到翻译的准确性和灵活性的有效结合。
本书由颜炯翻译。Be Flying工作室负责人(ht中:/Polog.csdn.net/be_flying)肖国尊负责本书译者的确定、翻译质量和进度的控制与管理。由于我们的水平有限,错误与不当之处在所难免。
敬请广大读者提供反馈意见,读者可以将意见通过电子邮件发送到be-Rylng@sohu.com,我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。
译者
2009年7月27日
本书深入详细地介绍了开发安全ASP.NET应用程序的理论和最佳实践,还介绍了ASP.NET各项功能的内部工作原理,并强调了如何通过编程方式开发可靠安全的ASP.NET应用程序,而且给出了大量的代码示例,同时还强调了如何合理地选择方案,确保ASP.NET.应用程序能够安全地工作。
本书面向ASP.NET开发人员,针对ASP.NET开发人员常见的安全问题,对ASP.NET安全领域中的主要内容进行了详细介绍。为了阅读本书,ASP.NET开发人员应该具备用VB语言或C#语言开发ASP.NET Web应用程序的经验。通过学习本书内容,ASP.NET开发人员能够深入完整地掌握ASP.NET安全领域的开发技术,深刻理解与IIS 7.0和ASP.NET安全有关的技术基础,在开发基于IlS 7.0和ASP.NET应用程序的过程中,能够对安全问题应付自如。
在翻译本书过程中,我们感到作者对如何开发出可靠安全的ASP.NET应用程序认识得极为深刻,特别是,作者的讨论时刻不偏离安全的ASP.NET应用程序开发背后最为重要的概念,不仅解释了如何解决开发过程中遇到的问题,还强调了采纳每种技术的前因后果,以及如何有机地使用ASP.NET提供的各项安全基础设施,这也是本书与其他介绍ASP.NET安全的技术书籍的最大区别,也是本书的技术亮点所在。我们相信读者在阅读本书之后一定会得出同样的结论。
在本书的翻译过程中,我们本着对读者认真负责的精神,力求做到技术内涵的准确无误和专业术语的规范统一,力求做到翻译的准确性和灵活性的有效结合。
本书由颜炯翻译。Be Flying工作室负责人(ht中:/Polog.csdn.net/be_flying)肖国尊负责本书译者的确定、翻译质量和进度的控制与管理。由于我们的水平有限,错误与不当之处在所难免。
敬请广大读者提供反馈意见,读者可以将意见通过电子邮件发送到be-Rylng@sohu.com,我们会仔细查阅读者发来的每一封邮件,以求进一步提高今后译著的质量。
译者
2009年7月27日
前言回到顶部↑
本书广泛讨论了与ASP.NET 2.0和ASP.NET 3.5安全相关的主题。本书首先介绍了Internet Information Services 7.0(IIS 7.0),然后详细解释IIS 7.0的Integrated执行模式。随后,本书详细讨论了在ASP.NET应用程序的启动过程中安全机制的作用机理,以及在最新引入的IIS 7.0集成请求处理管道中处理请求时,安全机制的作用机理。本书随后介绍了与信息安全有关的特性,如信任级别(trust level)、表单身份验证(Forms authentication)、会话状态(session state)、网页安全(page security)以及配置文件安全。您还可以了解到IIS 7.0的Integrated模式的优点,以及如何利用ASP.NET功能来处理非托管(non-managed)请求和本机(native)请求,例如classic ASP请求。IIS 7.0和ASP.NET可以协同工作,能够为您提供一个完整的请求处理管道,从而可以帮助您处理上述类型的请求。在学习上述主题的过程中,您还可以深入理解ASP.NET 2.0和ASP.NET 3.5中很少公开的安全功能。
本书从第10章开始着重介绍ASP.NET 2.0和ASP.NET 3.5的两项安全服务:成员资格和角色管理器。首先您将学习上述两项功能的基础——提供程序中rovider)模型,然后将详细研究上述两项功能的内部机理,以及与其相关的基于SQL的提供程序和基于Active Directory的提供程序。掌握上述主题后,您可以深入理解如何使用上述提供程序完成工作,还可以了解如何在自己开发的应用程序中对上述功能进行扩展。随后,本书继续讨论ASP.NET的功能,并在第17章专门讨论了如何将ASP.NET的AJAX 3.5安全与ASP.NET 3.5的安全进行集成,从而说明了如何利用客户端编写的JavaScript代码对用户进行身份验证(authenticate)和授权(authorize)。
最后,本书用一章的篇幅讨论了ASP.NET开发人员必须遵守的最佳开发实践,通过遵循最佳实践,可以保证ASP.NET应用程序免受恶意攻击。
读者目标
本书主要面向的读者是开发人员,并要求读者具备良好的ASP.NET 1.1和ASP.NET 2.0安全概念基础,掌握表单身份验证、网页安全以及网站授权(website authorization)等内容。本书主要关注成员资格和角色管理器等内容,假定读者已经开始使用这些内容,并且很好地理解了上述内容所提供的一般功能。本书还假定读者对如何使用ASP.NET的AJAX 3.5具备一定经验,本书不打算重复介绍那些已经在API参考文献中广为介绍的功能。
读者将会发现,本书介绍的是各类ASP.NET安全功能的内幕,通过阅读本书,读者可以深入理解ASP.NET的安全机制。本书集中关注IIS 7.0及全新的Integrated执行模式,解释了新执行模式的重要性以及新模式为应用程序带来的好处。本书同时还解释了比较少见的安全功能(如ASP.NET的信任级别),通过学习这些内容,读者可以在自己的应用程序中使用相关的方法。
如果您需要大致了解IIS 7.0及其统一的集成请求处理管道,请阅读本书第1章和第2章的内容。如果您需要深入了解ASP.NET 2.0和ASP.NET 3.5的安全功能,请阅读本书第2章到第9章的内容。如果您需要了解成员资格和角色管理器等内容,关注本书第10章到第15章的内容。本书第17章讨论了ASP.NET的AJAX 3.5的身份验证和授权功能,说明了如何利用客户端编写的JavaScfipt代码进行身份验证和授权,这样可以充分借鉴他人的经验,开发出具有更快响应速度、更佳安全性的应用程序。最后,本书第18章介绍了ASP.NET所面临的一些其他类型的威胁和攻击,同时还提供了针对这些威胁的解决方案。
学习本书内容之后,读者将能够充分地理解ASP.NET安全的工作方式,还可以深入掌握如何充分利用ASP.NET 2.0和ASP.NET 3.5的功能,从而满足读者所开发的应用程序的安全需求。
本书的组织结构
与ASP.NET安全有关的主题包括大量不同的概念,如安全功能、最佳编码实践、锁定(lockdown)过程以及其他内容。本书从开发人员的角度研究ASP.NET安全功能,对开发人员在开发Web应用程序过程中可能遇到的各种ASP.NET安全功能进行了详细讨论,同时还说明了如何扩展或修改这些功能。
·第1章“IIS 7.0介绍”首先介绍了应用程序池和工作进程的新思路,基于这种新思路,本章深入说明了构成IIS 7.0的主要组件。然后,本章介绍了IIS 7.0的模块架构;还介绍了IIS 7.0提供的一系列本机模块和托管模块。在本章结尾,您将学习到IIS 7.0的两种处理模式,即Integrated处理模式和Classic处理模式。
·第2章“IIS 7.0和ASP.NET的Integrated模式”首先介绍了使用IIS 7.0和Integrated处理模式的优点,然后进一步讨论了Integrated处理模式的内部机制和架构。此外,本章还说明了开发人员和管理人员在升级应用程序使之能够运行在IIS 7.0的Integrated模式下的过程中所面临的迁移问题。本章最后使用一节的篇幅说明了如何扩展IIS 7.0的基础设施,为了完成扩展工作,这一节内容开发了托管的HttpHandler处理程序和HttpModule模块,并在应用程序的web.config配置文件中完成了这些功能的安装,因此用户不需要再访问IIS 7.0 Manager工具。
·第3章“IIS 7.0的Integrated模式中的HTTP请求处理”首先介绍了IIS 7.0内置的IUSR帐户和IIS IUSRS组,然后详细说明了IIS 7.0和ASP.NET在统一的集成请求处理管道中的安全处理过程,本书在此不仅详细介绍了统一的请求处理管道及其涉及的所有事件和步骤,而且还着重介绍了某些重要的步骤。您可以看到默认的身份验证和授权模块是如何完成工作的,以及IIS7.0的新技术是如何基于IIS7.0的新增配置设置来阻止对某些内容的访问的。本章专门使用一节的篇幅说明了新增的UrlAuthorizationModule模块,这个模块是一个随IIS 7.0一同发行的本机模块。在ASP.NET 2.0和ASP.NET 3.5的异步管道事件(asynchronous pipeline event)和异步网页模型(asynchronous page model)中使用请求标识(request identity)时,必须注意一些微妙之处,本章专门介绍了这种微妙之处。
·第4章“信任问题”描述了什么是ASP.NET的信任级别,还说明了ASP.NET的信任级别是如何为运行中的Web应用程序提供更为安全的运行环境的。本章详细探讨了如何自定义信任级别,以及如何编写在部分信任(partial trust)应用程序中运行的特权代码(privileged code)。
第5章“配置系统的安全”覆盖了与2.0版和3.5版.NET Framework中所有安全功能配置系统有关的内容。本章讨论了用于锁定配置节的配置选项,还讨论了如何保护配置节免受窥探。本章讨论了如何管理IIS 7.0和ASP.NET的配置系统,并且简单介绍了IIS 7.0的功能委托(feature delegation),利用IIS 7.0的功能委托,管理人员可以指定ASP.NET应用程序能够改用或修改的IIS 7.0配置节。本章还讨论了ASP.NET的信任级别与配置系统安全是如何协同工作的。
第6章“表单身份验证”解释了ASP.NET 2.0和ASP.NET 3.5为表单身份验证提供的支持。您将学习IIS 7.0如何在不使用cookie的情况下为Integrated模式提供支持,还将学习表单身份验证如何在不同的Web应用程序之间传递身份验证票证(ticket)。本章同时给出了一个示例,这个示例实现了一个轻量级的单一登录(Single Sign On,SSO),同时说明了如何组合使用表单身份验证和成员资格来完成单一登录。
第7章“将ASP.NET安全与Classic ASP进行集成”说明了如何使用IIS 7.0通配符映射以及ASP.NET 2.0和ASP.NET 3.5对通配符映射的支持,这样,当一个ASP.NET应用程序在IIS 7.0的Classic模式下运行时,可以与ClassicASP应用程序共享身份验证和授权信息。本章说明了将ASP.NET安全与Classic ASP或其他非托管内容进行集成是一项非常容易的工作,只需使用IIS 7.0提供的Integrated模式就可以完成该任务。本章最后详细讨论了如何使一个运行在IIS 7.0的Integrated模式下的ASP.NET应用程序,利用ASP.NET的成员资格和角色管理器功能对classic ASP内容进行身份验证和授权。
第8章“会话状态”关注与会话状态有关的安全特性和安全指南。本章介绍了ASP.NET 2.0和ASP.NET 3.5中的会话状态功能,还介绍了针对进程外状态的安全保护措施,并介绍了ASP.NET信任级别对会话状态功能的影响。此外,本章还详细讨论了如何为运行在IIS 7.0的Integrated模式下的ASP.NET应用程序中的非托管内容启用会话状态。
第9章“网页安全和编译安全”描述了一些在ASP.NET 1.1中很少有人了解的网页安全特性。同时,本章还描述了在ASP.NET 2.0和ASP.NET 3.5中如何确保视图状态(viewstate)和回发(postback)事件的安全。本章还介绍了ASP.NET 3.5提供的动态编译模型,该模型最早是由ASP.NET 2.0引入的,动态编译模型可以用于保证代码访问的安全。
第10章“提供程序模型”概述了ASP.NET 2.0和ASP.NET 3.5中的提供程序架构。本章介绍了构成“提供程序模型”的各种.NET Framework类,还给出了相关代码,这些内容可以指导用户编写基于提供程序的自定义功能。
本书从第10章开始着重介绍ASP.NET 2.0和ASP.NET 3.5的两项安全服务:成员资格和角色管理器。首先您将学习上述两项功能的基础——提供程序中rovider)模型,然后将详细研究上述两项功能的内部机理,以及与其相关的基于SQL的提供程序和基于Active Directory的提供程序。掌握上述主题后,您可以深入理解如何使用上述提供程序完成工作,还可以了解如何在自己开发的应用程序中对上述功能进行扩展。随后,本书继续讨论ASP.NET的功能,并在第17章专门讨论了如何将ASP.NET的AJAX 3.5安全与ASP.NET 3.5的安全进行集成,从而说明了如何利用客户端编写的JavaScript代码对用户进行身份验证(authenticate)和授权(authorize)。
最后,本书用一章的篇幅讨论了ASP.NET开发人员必须遵守的最佳开发实践,通过遵循最佳实践,可以保证ASP.NET应用程序免受恶意攻击。
读者目标
本书主要面向的读者是开发人员,并要求读者具备良好的ASP.NET 1.1和ASP.NET 2.0安全概念基础,掌握表单身份验证、网页安全以及网站授权(website authorization)等内容。本书主要关注成员资格和角色管理器等内容,假定读者已经开始使用这些内容,并且很好地理解了上述内容所提供的一般功能。本书还假定读者对如何使用ASP.NET的AJAX 3.5具备一定经验,本书不打算重复介绍那些已经在API参考文献中广为介绍的功能。
读者将会发现,本书介绍的是各类ASP.NET安全功能的内幕,通过阅读本书,读者可以深入理解ASP.NET的安全机制。本书集中关注IIS 7.0及全新的Integrated执行模式,解释了新执行模式的重要性以及新模式为应用程序带来的好处。本书同时还解释了比较少见的安全功能(如ASP.NET的信任级别),通过学习这些内容,读者可以在自己的应用程序中使用相关的方法。
如果您需要大致了解IIS 7.0及其统一的集成请求处理管道,请阅读本书第1章和第2章的内容。如果您需要深入了解ASP.NET 2.0和ASP.NET 3.5的安全功能,请阅读本书第2章到第9章的内容。如果您需要了解成员资格和角色管理器等内容,关注本书第10章到第15章的内容。本书第17章讨论了ASP.NET的AJAX 3.5的身份验证和授权功能,说明了如何利用客户端编写的JavaScfipt代码进行身份验证和授权,这样可以充分借鉴他人的经验,开发出具有更快响应速度、更佳安全性的应用程序。最后,本书第18章介绍了ASP.NET所面临的一些其他类型的威胁和攻击,同时还提供了针对这些威胁的解决方案。
学习本书内容之后,读者将能够充分地理解ASP.NET安全的工作方式,还可以深入掌握如何充分利用ASP.NET 2.0和ASP.NET 3.5的功能,从而满足读者所开发的应用程序的安全需求。
本书的组织结构
与ASP.NET安全有关的主题包括大量不同的概念,如安全功能、最佳编码实践、锁定(lockdown)过程以及其他内容。本书从开发人员的角度研究ASP.NET安全功能,对开发人员在开发Web应用程序过程中可能遇到的各种ASP.NET安全功能进行了详细讨论,同时还说明了如何扩展或修改这些功能。
·第1章“IIS 7.0介绍”首先介绍了应用程序池和工作进程的新思路,基于这种新思路,本章深入说明了构成IIS 7.0的主要组件。然后,本章介绍了IIS 7.0的模块架构;还介绍了IIS 7.0提供的一系列本机模块和托管模块。在本章结尾,您将学习到IIS 7.0的两种处理模式,即Integrated处理模式和Classic处理模式。
·第2章“IIS 7.0和ASP.NET的Integrated模式”首先介绍了使用IIS 7.0和Integrated处理模式的优点,然后进一步讨论了Integrated处理模式的内部机制和架构。此外,本章还说明了开发人员和管理人员在升级应用程序使之能够运行在IIS 7.0的Integrated模式下的过程中所面临的迁移问题。本章最后使用一节的篇幅说明了如何扩展IIS 7.0的基础设施,为了完成扩展工作,这一节内容开发了托管的HttpHandler处理程序和HttpModule模块,并在应用程序的web.config配置文件中完成了这些功能的安装,因此用户不需要再访问IIS 7.0 Manager工具。
·第3章“IIS 7.0的Integrated模式中的HTTP请求处理”首先介绍了IIS 7.0内置的IUSR帐户和IIS IUSRS组,然后详细说明了IIS 7.0和ASP.NET在统一的集成请求处理管道中的安全处理过程,本书在此不仅详细介绍了统一的请求处理管道及其涉及的所有事件和步骤,而且还着重介绍了某些重要的步骤。您可以看到默认的身份验证和授权模块是如何完成工作的,以及IIS7.0的新技术是如何基于IIS7.0的新增配置设置来阻止对某些内容的访问的。本章专门使用一节的篇幅说明了新增的UrlAuthorizationModule模块,这个模块是一个随IIS 7.0一同发行的本机模块。在ASP.NET 2.0和ASP.NET 3.5的异步管道事件(asynchronous pipeline event)和异步网页模型(asynchronous page model)中使用请求标识(request identity)时,必须注意一些微妙之处,本章专门介绍了这种微妙之处。
·第4章“信任问题”描述了什么是ASP.NET的信任级别,还说明了ASP.NET的信任级别是如何为运行中的Web应用程序提供更为安全的运行环境的。本章详细探讨了如何自定义信任级别,以及如何编写在部分信任(partial trust)应用程序中运行的特权代码(privileged code)。
第5章“配置系统的安全”覆盖了与2.0版和3.5版.NET Framework中所有安全功能配置系统有关的内容。本章讨论了用于锁定配置节的配置选项,还讨论了如何保护配置节免受窥探。本章讨论了如何管理IIS 7.0和ASP.NET的配置系统,并且简单介绍了IIS 7.0的功能委托(feature delegation),利用IIS 7.0的功能委托,管理人员可以指定ASP.NET应用程序能够改用或修改的IIS 7.0配置节。本章还讨论了ASP.NET的信任级别与配置系统安全是如何协同工作的。
第6章“表单身份验证”解释了ASP.NET 2.0和ASP.NET 3.5为表单身份验证提供的支持。您将学习IIS 7.0如何在不使用cookie的情况下为Integrated模式提供支持,还将学习表单身份验证如何在不同的Web应用程序之间传递身份验证票证(ticket)。本章同时给出了一个示例,这个示例实现了一个轻量级的单一登录(Single Sign On,SSO),同时说明了如何组合使用表单身份验证和成员资格来完成单一登录。
第7章“将ASP.NET安全与Classic ASP进行集成”说明了如何使用IIS 7.0通配符映射以及ASP.NET 2.0和ASP.NET 3.5对通配符映射的支持,这样,当一个ASP.NET应用程序在IIS 7.0的Classic模式下运行时,可以与ClassicASP应用程序共享身份验证和授权信息。本章说明了将ASP.NET安全与Classic ASP或其他非托管内容进行集成是一项非常容易的工作,只需使用IIS 7.0提供的Integrated模式就可以完成该任务。本章最后详细讨论了如何使一个运行在IIS 7.0的Integrated模式下的ASP.NET应用程序,利用ASP.NET的成员资格和角色管理器功能对classic ASP内容进行身份验证和授权。
第8章“会话状态”关注与会话状态有关的安全特性和安全指南。本章介绍了ASP.NET 2.0和ASP.NET 3.5中的会话状态功能,还介绍了针对进程外状态的安全保护措施,并介绍了ASP.NET信任级别对会话状态功能的影响。此外,本章还详细讨论了如何为运行在IIS 7.0的Integrated模式下的ASP.NET应用程序中的非托管内容启用会话状态。
第9章“网页安全和编译安全”描述了一些在ASP.NET 1.1中很少有人了解的网页安全特性。同时,本章还描述了在ASP.NET 2.0和ASP.NET 3.5中如何确保视图状态(viewstate)和回发(postback)事件的安全。本章还介绍了ASP.NET 3.5提供的动态编译模型,该模型最早是由ASP.NET 2.0引入的,动态编译模型可以用于保证代码访问的安全。
第10章“提供程序模型”概述了ASP.NET 2.0和ASP.NET 3.5中的提供程序架构。本章介绍了构成“提供程序模型”的各种.NET Framework类,还给出了相关代码,这些内容可以指导用户编写基于提供程序的自定义功能。
【插图】
相关资源回到顶部↑
· 【推荐】众多高校学子口口相传,他们共同的选择--华清远见嵌入式学院(嵌入式Linux就业课程、3G手机开发就业课程,通过入学测试即签100%就业协议,4个月集中实训,世界500强企业成功就业保障!!!)· 【亚嵌教育 嵌入式培训专家】(嵌入式培训,嵌入式Linux培训,ARM培训,Linux培训,3G培训,Android培训,WINCE培训,DSP培训,FPGA培训,嵌入式就业培训)
· InfoQ中文站论坛:.NET讨论区(InfoQ .NET)
· 程序员的7种武器(正则表达式、编程语言、数据库、算法、软件调试、开发环境)
· WCF的开山之作 WCF画卷的清明上河图(WCF WF WPF)
加载中...