Web.config安全级别

Question

我对web.config文件有一点疑问。 它是一个安全的文件，我的意思是这个文件可以从外面访问？
我看到很多系统来保护它，但它似乎只是为了开发安全性。
但是“外部安全”呢？

Answer 1

它是安全的，除非他们可以访问您的Windows Live ID（弱点）或获取.rdp文件，否则任何人都无法进入您的Cloud Service（Web角色），他们仍然需要知道您的用户名和密码，以记住你。 如果您担心为什么不遵循开发人员安全性并加密那里的字段。

IMO更安全，然后有人闯入您的企业源控制系统并将其从那里偷走。

Windows Azure信任中心提供了更多详细信息，可以说它是世界上最安全的数据中心之一： https ： //www.windowsazure.com/en-us/support/trust-center/security/

Answer 2

实际上，web.config文件不受Azure或WebRole的保护。 它受IIS本身的保护。 所有匹配“* .config”通配符的文件默认映射到HttpForbiddenHandler（除了* .dll.config和* .exe.config，它们有另一个注册的处理程序）

您可以在全局（所有您的w.configs的父级）web.config文件中找到所有默认映射，该文件位于“c：\\ <Windows> \\ Microsoft.NET \\ Framework \\ <v4.0.30319> \\ Config \\ web”。 config“您可以看到许多默认情况下为不同文件掩码注册的处理程序：

<configuration><system.web><httpHandlers>
    <add path="*.config" verb="*" type="System.Web.HttpForbiddenHandler" validate="True" />

您可以在自己的配置中重新定义此行为，以备不时之需，但强烈建议不要使用“安全敏感”文件。 因此web.config的“保护”内置于IIS本身。