我对 web.config 文件有一点疑问。它是一个安全文件吗,我的意思是这个文件可以从外部访问吗?
我看到很多系统来保护它,但它似乎只是为了开发安全。
但是“外部安全”呢?
问问题
354 次
2 回答
1
这是安全的,除非他们有权访问您的 Windows Live ID(弱点)或获取 .rdp 文件,否则任何人都无法进入您的云服务(Web 角色),他们仍然需要知道您的用户名和密码来记住你。如果您担心为什么不遵循开发人员的安全性并加密其中的字段。
IMO 比有人闯入您的企业源代码控制系统并从那里窃取它们更安全。
Windows Azure 信任中心更详细,可以肯定地说它是世界上最安全的数据中心之一:https ://www.windowsazure.com/en-us/support/trust-center/security/
于 2012-06-06T08:14:46.043 回答
1
实际上,web.config 文件不受 Azure 或 WebRole 保护。它受 IIS 本身的保护。所有匹配“*.config”通配符的文件默认映射到 HttpForbiddenHandler(除了 *.dll.config 和 *.exe.config,它们有另一个注册的处理程序)
您可以在全局(您的所有 w.configs 的父级)web.config 文件中找到所有默认映射,该文件位于此处“c:\<Windows>\Microsoft.NET\Framework\<v4.0.30319>\Config\web. config" 你可以看到很多默认为不同文件掩码注册的处理程序:
<configuration><system.web><httpHandlers>
<add path="*.config" verb="*" type="System.Web.HttpForbiddenHandler" validate="True" />
如果需要,您可以在自己的配置中重新定义此行为,但强烈建议不要将其用于“安全敏感”文件。因此,对 web.config 的“保护”内置在 IIS 本身中。
于 2012-06-06T12:32:58.353 回答