asp程序員-維護 ASP 應用程序的安全

1、asp程序員-維護 ASP 應用程序的安全代寫論文<%必須將Web服務器配置為接受或需要客戶資格，論文發(fā)表然后才能通過ASP處理客戶資格；否則，ClientCertificate集合將為空。提交或終止腳本    Response.Write"<HTML>"<%TRANSACTION=value%>維護包含文件的安全%>每當用戶試圖登錄到需要資格驗證的應用程序時，用戶的Web瀏覽器會自動向服務器發(fā)送用戶資格。如果Web服務器的SecureSocketsLayer(SSL)資格映射特性配置正確，那么服務

2、器就可以在許可用戶對ASP應用程序訪問之前對其身份進行確認。截獲了用戶sessionIDcookie的計算機黑客可以使用此cookie假冒該用戶。如果ASP應用程序包含私人信息，信用卡或銀行帳戶號碼，擁有竊取的cookie的計算機黑客就可以在應用程序中開始一個活動會話并獲取這些信息。您可以通過對您的Web服務器和用戶的瀏覽器間的通訊鏈路加密來防止SessionIDcookie被截獲。有關(guān)加密的詳細信息，請參閱安全性。    Requires_New啟動一個新的事務。在MTS資源管理攣駭并讓MTS處理事務的一致性。事務處理只適用于數(shù)據(jù)庫訪問；MTS不能對文

3、件系統(tǒng)或其他的非事務性資源的更改進行恢復操作。應用程序所訪問的數(shù)據(jù)庫必須為MTS所支持。目前，MTS支持SQLServer及任何支持XA協(xié)議（由X/Open協(xié)會制定）的服務器。MTS將繼續(xù)擴展對其他數(shù)據(jù)庫的支持。<P>Thankyou.Yourtransactionisbeingprocessed.</P>BankAction.Deposit(Request("AcctNum")因為TransactionServer跟蹤事務處理，所以它決定事務是完全成功還是失敗。腳本可以通過調(diào)用ObjectContext.SetAbort顯式地聲明終止一個事務。例如

4、，當一個事務在從一個組件收到錯誤消息、違反商業(yè)規(guī)范時（例如，帳戶余額小于0）或讀寫文件等非事務性操作失敗時，腳本就需要終止該事務。如果頁在事務完成之前超時，也必須終止事務。Response.Write"<BODY>"您可以通過為單獨的文件和目錄應用NTFS訪問權(quán)限來保護ASP應用程序文件。NTFS權(quán)限是Web服務器安全性的基礎，它定義了一個或一組用戶訪問文件和目錄的不同級別。當擁有WindowsNT有效帳號的用戶試圖訪問一個有權(quán)限限制的文件時，計算機將檢查文件的訪問控制表(ACL)。該表定義了不同用戶和用戶組所被賦予的權(quán)限。如果用戶的帳號具有打開文件的權(quán)限，計算

5、機則允許該用戶訪問文件。例如，Web服務器上的Web應用程序的所有者需要有摳臄權(quán)限來查看、更改和刪除應用程序的.asp文件。但是，訪問該應用程序的公共用戶應僅被授予撝歡翑權(quán)限，以便將其限制為只能查看而不能更改應用程序的Web頁。    <BODY>一般情況下，不要將從MTS組件中創(chuàng)建的對象存儲在ASPApplication或Session對象中。MTS對象在事務完成后消失。因為Session對象和Application對象是為在不同ASP頁之間使用的對象實例設計的，所以不要用它們保存在事務結(jié)束時即被釋放的對象。如果事務被終止，Transact

6、ionServer將恢復對支持事務的資源的任何更改。目前，僅數(shù)據(jù)庫服務器完全支持事務，因為數(shù)據(jù)庫中的數(shù)據(jù)對于企業(yè)應用是最為關(guān)鍵的。TransactionServer不對硬盤上的文件、會話和應用程序的變量、集合等的改變進行恢復。然而您可以如下文主題所述，通過編寫事務事件來編寫恢復變量和集合的腳本。在某些時候，您的腳本也可以顯式的提交或終止一個事務，如向文件寫數(shù)據(jù)失敗時?？刂茖δ腁SP應用程序訪問的一種十分安全的方法是要求用戶使用客戶資格登錄?？蛻糍Y格是包含用戶身份信息的數(shù)字身份證，它的作用與傳統(tǒng)的諸如護照或駕駛執(zhí)照等身份證明相同。用戶通常從委托的第三方組織獲得客戶資格，第三方組織在發(fā)放資格證之

7、前確認用戶的身份信息。（通常，這類組織要求姓名、地址、電話號碼及所在組織名稱；此類信息的詳細程度隨給予的身份等級而異。）有關(guān)配置Web服務器權(quán)限的詳細信息，請參閱訪問控制。為了防止計算機黑客猜中SessionIDcookie并獲得對合法用戶的會話變量的訪問，Web服務器為每個SessionID指派一個隨機生成號碼。每當用戶的Web瀏覽器返回一個SessionIDcookie時，服務器取出SessionID和被賦予的數(shù)字，接著檢查是否與存儲在服務器上的生成號碼一致。若兩個號碼一致，將允許用戶訪問會話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的長度（64位），此長度使計算機黑客猜中SessionID從

8、而竊取用戶的活動會話的可能性幾乎為0。如果您從位于沒有保護的虛擬根目錄中的.asp文件中包含了位于啟用了SSL的目錄中的文件，則SSL將不被應用于被包含文件。因此，為了保證應用SSL，應確保包含及被包含的文件都位于啟用了SSL的目錄中。'Displaythispageifthetransactionfails.創(chuàng)建事務性腳本<%<HTML>對包含.asp文件的虛擬目錄允許摱翑或摻瘧緮權(quán)限。加密重要的SessionIDCookie在將一個頁聲明為事務性時，此頁中的任何腳本命令和對象都運行在同一個事務環(huán)境中。TransactionServer處理生成事務的細節(jié)并決定事務成

9、功（提交）或失?。ńK止）。要將某個頁聲明為事務性，可在頁首添加TRANSACTION指令：<H1>Welcometotheonlinebankingservice</H1><%TRANSACTION=Required%>您可以要求每個試圖訪問被限制的ASP內(nèi)容的用戶必須要有有效的WindowsNT帳號的用戶名和密碼。每當用戶試圖訪問被限制的內(nèi)容時，Web服務器將進行身份驗證，即確認用戶身份，以檢查用戶是否擁有有效的WindowsNT帳號。</BODY>Response.Flush()Cookie安全性    

10、;事務排隊有關(guān)在ASP應用程序中使用消息隊列的示例，請參閱開發(fā)人員范例。要查看這些示例，必須安裝SDK文檔。%>Response.Write"Weareunabletocompleteyourtransaction."SubOnTransactionCommit()'Bufferoutputsothatdifferentpagescanbedisplayed.ASP事務處理是以Microsoft?TransactionServer(MTS)為基礎的。Microsoft?TransactionServer(MTS)是一個事務處理系統(tǒng)，用于開發(fā)、配置和管理高性能、可分級的、有魯