在ASP.NET中创建安全的web站点（配置） _ASP.NET技巧

以前用ASP,PHP,JSP编写网站代码的时候，站点安全性总是一件头疼的事情，虽然我们编写了用户登录，注册，验证页面，但是效果总是不理想。有时候我们不得不用大量的session变量来存放相关信息，处处设防。而在.NET环境下，这个问题处理起来就非常容易了。关键是要充分理解web.config文件。首先，介绍一下web.config文件。

<?xml version="1.0" encoding="utf-8" ?>

<configuration>

<system.web>

<!-- 动态调试编译

设置 compilation debug="true" 以将调试符号（.pdb 信息）

插入到编译页中。因为这将创建执行起来

较慢的大文件，所以应该只在调试时将该值设置为 true，而所有其他时候都设置为

false。有关更多信息，请参考有关

调试 ASP.NET 文件的文档。

-->

<compilation defaultLanguage="vb" debug="true" />

<!-- 自定义错误信息

设置 customErrors mode="On" 或 "RemoteOnly" 以启用自定义错误信息，或设置为 "Off" 以禁用自定义错误信息。

为每个要处理的错误添加 <error> 标记。

-->

<customErrors mode="RemoteOnly" />

<!-- 身份验证

此节设置应用程序的身份验证策略。可能的模式是 \“Windows\”、

\“Forms\”、\“Passport\”和 \“None\”

-->

<authentication mode="Windows" />

<!-- 授权

此节设置应用程序的授权策略。可以允许或拒绝用户或角色访问

应用程序资源。通配符："*" 表示任何人，"?" 表示匿名

（未授权的）用户。

-->

<authorization>

<allow users="*" /> <!-- 允许所有用户 -->

<!-- <allow users="[逗号分隔的用户列表]"

roles="[逗号分隔的角色列表]"/>

<deny users="[逗号分隔的用户列表]"

roles="[逗号分隔的角色列表]"/>

-->

</authorization>

<!-- 应用程序级别跟踪记录

应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。

设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true"，则

跟踪信息将显示在每一页的底部。否则，可以通过从 Web 应用程序