web.config比類更安全嗎?
[英]Is web.config more secure than a class?
問題描述
我正在閱讀關於ASP.NET和第三方API的教程,並且它提到API KEY和SECRET KEY應該存儲在web.config文件中,以保證生產服務器上的安全性,而不是使用它們的類。 但是,我不太確定web.config文件比類更安全嗎? 我理解將它存儲在配置文件中的便利性,但我沒有看到安全性的好處?
4 個解決方案
解決方案1
6 已采納 2010-04-16 17:48:16
對於初學者,您可以快速更新web.config中的API密鑰。 您將不得不重新編譯該類並重新部署該類。
您還可以從asp.net 2.0開始加密web.config部分
http://weblogs.asp.net/scottgu/archive/2006/01/09/434893.aspx
如果你可以將它保存在machine.config上,那將確保它只存在於該機器上,而不是其他地方。 Web.Configs需要放在每個環境中,雖然你可以讓每台機器的web.config保持不同,但隨着時間的推移會變得很困難,因為你必須讓它們保持同步。
解決方案2
1 2010-04-16 17:49:46
您可以加密web.config的選定部分。
這是一篇關於超級簡單方法的博客文章。
http://odetocode.com/blogs/scott/archive/2006/01/08/encrypting-custom-configuration-sections.aspx
解決方案3
1 2010-04-16 17:50:59
如果它只存在於服務器上的web.config上,那么它也不會位於每個開發人員的計算機上。 這使得它更安全,因為泄露秘密的風險減少了。
解決方案4
0 2010-04-16 17:50:49
沒有安全利益。 有一個方便的好處,因為您不必重新編譯在更改時使用這些值的類。
從安全角度來看,這些類具有相同的安全級別。 將無法下載web.config和任何類文件(在App_Code中)或編譯的程序集(在bin文件夾中)(這些目錄未映射到人們可以從中下載的虛擬目錄)。
但是,如果獲得它們,那么它們中的任何一個都沒有任何安全性。 web.config文件易於閱讀,使用Reflector等工具,很容易看到編譯匯編中的常量。
web.config對已編譯程序集的唯一好處是,您可以加密web.config文件的各個部分,正如Scott Guthrie在他的博客中指出的那樣 。
建議使用web.config轉換保護連接字符串的方法
[英]Suggested methods to secure connection strings with web.config transformations
處理在web.config中上傳的大小超過maxRequestLength的文件
[英]Handling files uploaded with a size greater than maxRequestLength in web.config
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.