ASP.NET 环境中的部分信任配置有多大用处?如果我有自己的服务器,由我完全管理控制,那么设置部分信任仅在以某种方式设法上传和执行恶意代码但无法通过 web.config 提高信任级别的攻击类型中有用。这样的攻击可能吗?
问问题
218 次
2 回答
2
几年来,我一直在用头撞墙。在中等信任度下,您很快就会发现您使用的许多第 3 方控件无法应对中等信任度,而且您并不总是拥有源代码。一旦您遇到必须完全信任运行且不得放入 GAC 的代码行——在我的情况下,使组件在 GAC 中可共享存在许可限制——您将恢复完全信任.
我的建议:
- 等待.NET 4.0。CAS 模型已简化。
- 每个请求启动一个 appdomain 并在此时设置 CAS 权限列表。您只能获得整个 appdomain 的一个 CAS 策略。当您根据请求启动应用程序域时,观察性能和可伸缩性消失,了解应用程序域间通信通常很痛苦,等等。
迄今为止,我认为有人必须使用中等信任的唯一原因是:折扣托管,您的组织需要它(因为它在检查列表中),因为您允许用户故意上传 dll(假设您是运行在线反编译服务或编程竞赛让用户提交最快的dll)。
于 2010-01-20T16:56:47.160 回答
0
托管公司可以使用部分信任。如果您有自己的服务器,则不必担心并将其设置为完全信任。
于 2010-01-20T16:46:09.523 回答