asp程序員-維護(hù) ASP 應(yīng)用程序的安全

1、asp程序員-維護(hù) ASP 應(yīng)用程序的安全代寫(xiě)論文<%必須將Web服務(wù)器配置為接受或需要客戶資格，論文發(fā)表然后才能通過(guò)ASP處理客戶資格；否則，ClientCertificate集合將為空。提交或終止腳本    Response.Write"<HTML>"<%TRANSACTION=value%>維護(hù)包含文件的安全%>每當(dāng)用戶試圖登錄到需要資格驗(yàn)證的應(yīng)用程序時(shí)，用戶的Web瀏覽器會(huì)自動(dòng)向服務(wù)器發(fā)送用戶資格。如果Web服務(wù)器的SecureSocketsLayer(SSL)資格映射特性配置正確，那么服務(wù)

2、器就可以在許可用戶對(duì)ASP應(yīng)用程序訪問(wèn)之前對(duì)其身份進(jìn)行確認(rèn)。截獲了用戶sessionIDcookie的計(jì)算機(jī)黑客可以使用此cookie假冒該用戶。如果ASP應(yīng)用程序包含私人信息，信用卡或銀行帳戶號(hào)碼，擁有竊取的cookie的計(jì)算機(jī)黑客就可以在應(yīng)用程序中開(kāi)始一個(gè)活動(dòng)會(huì)話并獲取這些信息。您可以通過(guò)對(duì)您的Web服務(wù)器和用戶的瀏覽器間的通訊鏈路加密來(lái)防止SessionIDcookie被截獲。有關(guān)加密的詳細(xì)信息，請(qǐng)參閱安全性。    Requires_New啟動(dòng)一個(gè)新的事務(wù)。在MTS資源管理攣駭并讓MTS處理事務(wù)的一致性。事務(wù)處理只適用于數(shù)據(jù)庫(kù)訪問(wèn)；MTS不能對(duì)文

3、件系統(tǒng)或其他的非事務(wù)性資源的更改進(jìn)行恢復(fù)操作。應(yīng)用程序所訪問(wèn)的數(shù)據(jù)庫(kù)必須為MTS所支持。目前，MTS支持SQLServer及任何支持XA協(xié)議（由X/Open協(xié)會(huì)制定）的服務(wù)器。MTS將繼續(xù)擴(kuò)展對(duì)其他數(shù)據(jù)庫(kù)的支持。<P>Thankyou.Yourtransactionisbeingprocessed.</P>BankAction.Deposit(Request("AcctNum")因?yàn)門ransactionServer跟蹤事務(wù)處理，所以它決定事務(wù)是完全成功還是失敗。腳本可以通過(guò)調(diào)用ObjectContext.SetAbort顯式地聲明終止一個(gè)事務(wù)。例如

4、，當(dāng)一個(gè)事務(wù)在從一個(gè)組件收到錯(cuò)誤消息、違反商業(yè)規(guī)范時(shí)（例如，帳戶余額小于0）或讀寫(xiě)文件等非事務(wù)性操作失敗時(shí)，腳本就需要終止該事務(wù)。如果頁(yè)在事務(wù)完成之前超時(shí)，也必須終止事務(wù)。Response.Write"<BODY>"您可以通過(guò)為單獨(dú)的文件和目錄應(yīng)用NTFS訪問(wèn)權(quán)限來(lái)保護(hù)ASP應(yīng)用程序文件。NTFS權(quán)限是Web服務(wù)器安全性的基礎(chǔ)，它定義了一個(gè)或一組用戶訪問(wèn)文件和目錄的不同級(jí)別。當(dāng)擁有WindowsNT有效帳號(hào)的用戶試圖訪問(wèn)一個(gè)有權(quán)限限制的文件時(shí)，計(jì)算機(jī)將檢查文件的訪問(wèn)控制表(ACL)。該表定義了不同用戶和用戶組所被賦予的權(quán)限。如果用戶的帳號(hào)具有打開(kāi)文件的權(quán)限，計(jì)算

5、機(jī)則允許該用戶訪問(wèn)文件。例如，Web服務(wù)器上的Web應(yīng)用程序的所有者需要有摳臄權(quán)限來(lái)查看、更改和刪除應(yīng)用程序的.asp文件。但是，訪問(wèn)該應(yīng)用程序的公共用戶應(yīng)僅被授予撝歡翑權(quán)限，以便將其限制為只能查看而不能更改應(yīng)用程序的Web頁(yè)。    <BODY>一般情況下，不要將從MTS組件中創(chuàng)建的對(duì)象存儲(chǔ)在ASPApplication或Session對(duì)象中。MTS對(duì)象在事務(wù)完成后消失。因?yàn)镾ession對(duì)象和Application對(duì)象是為在不同ASP頁(yè)之間使用的對(duì)象實(shí)例設(shè)計(jì)的，所以不要用它們保存在事務(wù)結(jié)束時(shí)即被釋放的對(duì)象。如果事務(wù)被終止，Transact

6、ionServer將恢復(fù)對(duì)支持事務(wù)的資源的任何更改。目前，僅數(shù)據(jù)庫(kù)服務(wù)器完全支持事務(wù)，因?yàn)閿?shù)據(jù)庫(kù)中的數(shù)據(jù)對(duì)于企業(yè)應(yīng)用是最為關(guān)鍵的。TransactionServer不對(duì)硬盤上的文件、會(huì)話和應(yīng)用程序的變量、集合等的改變進(jìn)行恢復(fù)。然而您可以如下文主題所述，通過(guò)編寫(xiě)事務(wù)事件來(lái)編寫(xiě)恢復(fù)變量和集合的腳本。在某些時(shí)候，您的腳本也可以顯式的提交或終止一個(gè)事務(wù)，如向文件寫(xiě)數(shù)據(jù)失敗時(shí)?？刂茖?duì)您的ASP應(yīng)用程序訪問(wèn)的一種十分安全的方法是要求用戶使用客戶資格登錄。客戶資格是包含用戶身份信息的數(shù)字身份證，它的作用與傳統(tǒng)的諸如護(hù)照或駕駛執(zhí)照等身份證明相同。用戶通常從委托的第三方組織獲得客戶資格，第三方組織在發(fā)放資格證之

7、前確認(rèn)用戶的身份信息。（通常，這類組織要求姓名、地址、電話號(hào)碼及所在組織名稱；此類信息的詳細(xì)程度隨給予的身份等級(jí)而異。）有關(guān)配置Web服務(wù)器權(quán)限的詳細(xì)信息，請(qǐng)參閱訪問(wèn)控制。為了防止計(jì)算機(jī)黑客猜中SessionIDcookie并獲得對(duì)合法用戶的會(huì)話變量的訪問(wèn)，Web服務(wù)器為每個(gè)SessionID指派一個(gè)隨機(jī)生成號(hào)碼。每當(dāng)用戶的Web瀏覽器返回一個(gè)SessionIDcookie時(shí)，服務(wù)器取出SessionID和被賦予的數(shù)字，接著檢查是否與存儲(chǔ)在服務(wù)器上的生成號(hào)碼一致。若兩個(gè)號(hào)碼一致，將允許用戶訪問(wèn)會(huì)話變量。這一技術(shù)的有效性在于被賦予的數(shù)字的長(zhǎng)度（64位），此長(zhǎng)度使計(jì)算機(jī)黑客猜中SessionID從

8、而竊取用戶的活動(dòng)會(huì)話的可能性幾乎為0。如果您從位于沒(méi)有保護(hù)的虛擬根目錄中的.asp文件中包含了位于啟用了SSL的目錄中的文件，則SSL將不被應(yīng)用于被包含文件。因此，為了保證應(yīng)用SSL，應(yīng)確保包含及被包含的文件都位于啟用了SSL的目錄中。'Displaythispageifthetransactionfails.創(chuàng)建事務(wù)性腳本<%<HTML>對(duì)包含.asp文件的虛擬目錄允許摱翑或摻瘧緮權(quán)限。加密重要的SessionIDCookie在將一個(gè)頁(yè)聲明為事務(wù)性時(shí)，此頁(yè)中的任何腳本命令和對(duì)象都運(yùn)行在同一個(gè)事務(wù)環(huán)境中。TransactionServer處理生成事務(wù)的細(xì)節(jié)并決定事務(wù)成

9、功（提交）或失?。ńK止）。要將某個(gè)頁(yè)聲明為事務(wù)性，可在頁(yè)首添加TRANSACTION指令：<H1>Welcometotheonlinebankingservice</H1><%TRANSACTION=Required%>您可以要求每個(gè)試圖訪問(wèn)被限制的ASP內(nèi)容的用戶必須要有有效的WindowsNT帳號(hào)的用戶名和密碼。每當(dāng)用戶試圖訪問(wèn)被限制的內(nèi)容時(shí)，Web服務(wù)器將進(jìn)行身份驗(yàn)證，即確認(rèn)用戶身份，以檢查用戶是否擁有有效的WindowsNT帳號(hào)。</BODY>Response.Flush()Cookie安全性    

10、;事務(wù)排隊(duì)有關(guān)在ASP應(yīng)用程序中使用消息隊(duì)列的示例，請(qǐng)參閱開(kāi)發(fā)人員范例。要查看這些示例，必須安裝SDK文檔。%>Response.Write"Weareunabletocompleteyourtransaction."SubOnTransactionCommit()'Bufferoutputsothatdifferentpagescanbedisplayed.ASP事務(wù)處理是以Microsoft?TransactionServer(MTS)為基礎(chǔ)的。Microsoft?TransactionServer(MTS)是一個(gè)事務(wù)處理系統(tǒng)，用于開(kāi)發(fā)、配置和管理高性能、可分級(jí)的、有魯