[英]Storing Web.config in Git
我怀疑在Git-hub中存储web.config文件,是推荐吗?
这不是安全漏洞吗?
另外,不同环境的web.config在不同的环境中也会有所不同,因此如何保持不同版本的web.config是同一个repo和branch?
是的。
使用服务器级密钥存储敏感信息,如数据库连接字符串。
在IIS中,您可以使用ASPNET_REGIIS
- 它允许您添加IIS可以访问的秘密配置,但不能使用Web文件以纯文本形式保存。
在.NET核心中有新的Microsoft.Extensions.SecretManager.Tools
做同样的事情。
对于不同的环境,您可以拥有多个web.config
文件 ,例如web.release.config
和web.debug.config
。
您的web.config文件本身不是安全问题。 你可能拥有的键就像连接字符串一样非常敏感,不应该在版本控制中。 问题是如何管理这些密钥而不将它们放在web.config(或任何其他版本控制的设置/配置文件)中。
Keith你应该使用服务器级秘密是正确的。 如果你自己管理服务器,你可以使用他的设置方法,但如果你使用服务,你需要设置密钥,但是他们指定。
Azure上的一个示例
Heroku的另一个
https://devcenter.heroku.com/articles/config-vars
设置服务器级秘密只是第一步。 一旦你从web.config中取出密钥,你就必须在本地设置它们。 这是一篇关于使用本地machine.config设置它们的博客文章。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.