出版選項

Question

問：

我想詢問在Web應用程序發布過程中在我的服務器上發布.cs和.aspx文件是否被視為不良做法並且可能導致安全違規？

因為有時我必須這樣做，因為報告文件沒有發布或者css文件無法正常工作。

---

何時使用每個選項：

• 只運行此應用程序所需的文件。

• 所有項目文件。

• 源項目文件夾中的所有文件

Answer 1

這可能是對原則的誤用，但我總是想到最小特權原則 。 那個，我的意思是：

• 我的用戶是否需要查看任何代碼文件（適用於“所有項目文件和源項目文件夾中的所有文件”）？
• 我的用戶是否需要查看項目文件夾中的任何文件，但不包含在我的項目中（適用於“源項目文件夾中的所有文件”）？

如果這些問題的答案為否，那么我只使用運行此應用程序所需的文件進行發布。

我曾經犯過使用“源項目文件夾中的所有文件”發布網站的錯誤，因為我需要從我使用的插件中部署一堆.css和.js文件，並且不知道如何快速在我的網站項目中包含這些文件。

但是，只要我看到所有源代碼都顯示在我的生產文件夾中，我就會快速將發布選項切換回“僅運行此應用程序所需的文件”，並部署刪除目標文件夾中的所有文件。 然后，我環顧四周找到一種方法將所有文件都包含在我項目中不存在的文件夾中，從那以后我就開心了。

老實說，即使我的用戶需要查看某種類型的代碼，我也會考慮在我在任何網站上發布我的.cs文件的副本之前寫一個quine 。 人們對互聯網安全有不同的看法，但我常常想起Gene Spafford的這句話：

唯一真正安全的系統是關閉電源，澆築在一塊混凝土中並密封在帶有武裝警衛的鉛襯里房間 - 即使這樣我也有疑慮。

如果你環顧四周，你會發現各種問題，用戶試圖安全地加密/解密連接字符串，將數據安全地存儲在他們的程序（或數據庫）中，並以其他方式盡力保留任何人 - 即使他們最信任用戶 - 從他們不應該訪問他們。

盡管惡意用戶可能會嘗試訪問服務器上的文件，但我可以告訴您惡意用戶訪問我服務器上的文件要困難得多，因為我的服務器上不存在這些文件服務器 。

Answer 2

確保您的IIS設置意味着.cs文件不會公開提供。 這應該與任何敏感或非公共文件類型相同，例如.config 。

.aspx文件包含您的標記，因此通常可以公開發布和提供服務。