在ASP.NET中创建安全的web站点（配置） _ASP.NET技巧

根浏览 "trace.axd" 页来查看

应用程序跟踪日志。

-->

<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" />

<!-- 会话状态设置

默认情况下，ASP.NET 使用 cookie 标识哪些请求属于特定的会话。

如果 cookie 不可用，则可以通过将会话标识符添加到 URL 来跟踪会话。

若要禁用 cookie，请设置 sessionState cookieless="true"。

-->

<sessionState

mode="InProc"

stateConnectionString="tcpip=127.0.0.1:42424"

sqlConnectionString="data source=127.0.0.1;user id=sa;password="

cookieless="false"

timeout="20"

/>

<!-- 全球化

此节设置应用程序的全球化设置。

-->

<globalization requestEncoding="utf-8" responseEncoding="utf-8" />

</system.web>

</configuration>

好了，相信看过上面的介绍以后，对web.config文件一定非常了解了吧。下面我们就切入主题。为了防止用户没有经过验证就访问站点，我们的处理方法是当用户没有通过验证的时候点击任何页面将会直接跳到Login.aspx页面，具体代码如下：

<authentication mode="Forms">

<forms name="yourAuthCookie" loginUrl="login.aspx"

protection="All" path="/" />

</authentication>

<authorization>

<deny users="?" />

</authorization>

但是这样会产生一个问题，那就是如果我的站点有一些信息是可以让任意用户随意访问的，比如站点简介，使用说明等。如果按照上面的处理方法岂不让用户觉得很麻烦，呵呵，不急，在ASP.NET中自然有相应的解决办法。下面的代码可以实现匿名用户访问Test.aspx页面：

<location path="test.aspx">

<system.web>

<authorization>

<allow users="?" />

</authorization>

</system.web>

</location>