用ASP和IIS设置目录安全

iis|安全

  引:最近我接到任务,要设计出一种方案,为 Web 站点提供文件夹安全访问。

  这样做是出于以下想法,即一个用户可以进入该站点,并继而自动进入默认的文件夹,这个文件夹里列的是另一个页面的一些文件,它们之间已经建立链接。

  当用户点击某个文件名时,就可以打开相应的链接,看到那个文件的内容。 ( 这类似于在 FTP 中,一个用户的认证信息直接将他导入到一个特定的目录下。不同之处在于这是将用户从一个 Web 界面导入到一个文件中。 ) 我会一步一步向你展示我是怎样设计出我的方案的。 ( 本文中的编码已经经过测试并取得成功,可以在 Windows 2000 Server 的 Internet Information Services (IIS)5.0 中运行。 )

  打基础

  该 Web 站点在装有 Windows 2000 的机器上。由于在这样的环境下, IIS 与 Windows 完全结合在一起,因此,我决定好好利用这种鉴别机制。当用户进入最开始的页面时, LOGON_USER 环境变量通常会得到该用户的详细信息。由于 Windows 对鉴别用户和向用户授权都格外谨慎,我们唯一需要费神的是决定当前登录的用户该从哪里获取文件信息。由于这个方案中不存在数据库的交互作用,因此我的这个程序采用的是 XML 文件,这些文件可以长久保持用户信息。 XML 数据会被长久保持在应用程序变量中,如果这个应用程序 XML 数据发生了任何改变,也都会被长久地保持在该 XML 文件中。当然,这个例子中,唯一长久保持的是当前登录的用户的鉴定信息。这也就是当前用户的 SessionID 。

  为了让这些文件夹更灵活,我想允许用户以个人用户或群体用户的身份都可以访问它。这就要求这些文件夹向个人用户和群体用户提供访问路径,而且这些信息要储存在 XML 文件中。这样一来,我们需要三个 XML 文件:一个为个人用户准备的,一个为群体用户,另一个为文件夹准备。

  用户的 XML 文件包含用户的一些信息。例如,每个登录的用户都有一个用户名。当某个用户访问该 Web 站点时,就创建了一个会话,会话标志符可以识别这个会话。由于每一个会话对应一个用户,那么鉴别用户的用户节点就包括一个 sessionId 属性,用来保存当前的会话标志符。

  SessionId 属性可以用来在访问信息中查找用户的 ID 。这时,你同样需要为用户准备一个默认的文件夹。

  <?xml version='1.0'?><?xml version='1.0'?>

  群体用户的 XML 文件包含集体信息及各个群体中的用户的信息。 每一个群体的节点都包括一组用户,这些用户都通过它们的 ID 来鉴别。

<?xml version='1.0'?><?xml version='1.0'?>
<groups>
    <group id="1" username="administrators">
        <users>
            <user id="1"/>
        </users>
    </group>
</groups>

时间: 2024-10-29 13:43:29

用ASP和IIS设置目录安全的相关文章

iis 7设置目录权限需要注意的问题

  前段时间在windows server 2008 r2 (x64)服务器上配置好IIS 7.5+PHP(FASTCGI)+MYSQL以后,运行一直还算正常.直到昨天因为在线备份mysql失败而焦头烂额. php显示执行成功,但是显示执行时间是一个天文数字--这样的情况在以前配置nginx或者apache的php环境下也遇见过,原因无非是php内存限制过小,或者超时时间设置过小所致.然而修改fastcgi执行时间,加大php内存以后,问题依旧. 然后考虑到执行权限的问题,于是把默认的4个账户(

求大神帮忙,iis设置好啦,动了一下wwwroot中的文件,dreamweaver就不能打开asp文件啦

问题描述 求大神帮忙,iis设置好啦,动了一下wwwroot中的文件,dreamweaver就不能打开asp文件啦 我改了一下wwwroot的文件就不能打开啦,求大神帮忙,急急急急急急

asp.net 404 设置不生效不通过iis配置

问题描述 asp.net 404 设置不生效不通过iis配置 环境:win2003 iis 6.0 本机测试正常,修改web.config 但上了服务器就不行了,如何通过程序解决,不设置IIS 如果通过IIS来设置404,就没有任何意义了 解决方案 <httpErrors> <remove statusCode="404" subStatusCode="-1" /> <error statusCode="404" p

第十九篇 最新的ASP、IIS安全漏洞

当ASP以其灵活.简单.实用.强大的特性迅速风靡全球网站的时候,其本身的一些缺陷.漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASP.IIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕. 本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视.在微软的流行产品IIS SEVER4.0中被发现存在一种被称为"非法HTR请求"的缺陷.据微软称,此缺陷在特定情况下会导致任意代码都可以在服务器端运行

第十九课:最新的ASP、IIS安全漏洞

当ASP以其灵活.简单.实用.强大的特性迅速风靡全球网站的时候,其本身的一些缺陷.漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASP.IIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕. 本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视.在微软的流行产品IIS SEVER4.0中被发现存在一种被称为"非法HTR请求"的缺陷.据微软称,此缺陷在特定情况下会导致任意代码都可以在服务器端运行

ASP教程:第十九篇 最新的ASP、IIS安全漏洞

当ASP以其灵活.简单.实用.强大的特性迅速风靡全球网站的时候,其本身的一些缺陷.漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASP.IIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕. 本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视.在微软的流行产品IIS SEVER4.0中被发现存在一种被称为"非法HTR请求"的缺陷.据微软称,此缺陷在特定情况下会导致任意代码都可以在服务器端运行

最新的ASP、IIS安全漏洞

iis|安全|安全漏洞 作者:书生 当ASP以其灵活.简单.实用.强大的特性迅速风靡全球网站的时候,其本身的一些缺陷.漏洞也正威胁着所有的网站开发者,继上一篇中介绍了一些IIS的系统漏洞及ASP的安全问题后,本期中将针对最新的ASP.IIS安全漏洞进行详细的探讨,请所有的ASP网站开发者密切关注,提高警惕. 本月初微软再次被指责对其出品的WEB服务器软件的安全问题不加重视.在微软的流行产品IIS SEVER4.0中被发现存在一种被称为"非法HTR请求"的缺陷.据微软称,此缺陷在特定情况

C#创建IIS虚拟目录的方法

  本文实例讲述了C#创建IIS虚拟目录的方法.分享给大家供大家参考.具体分析如下: DirectoryEntry是.Net给我们的一大礼物,他的名字我们就知道他的功能--目录入口.使用过ADSI的人都知道操作IIS,WinNT这些时,我们还需要提供他们的Path,操作IIS时,这个Path的格式为: 代码如下: IIS://ComputerName/Service/Website/Directory ComputerName:即操作的服务器的名字,可以是名字也可以是IP,经常用的就是local

asp.net程序aspnet_client目录下的js失效

问题描述 asp.net程序aspnet_client目录下的js失效2007-11-0523:21系统同时安装.net1.1 和.net2.0时,.net1.1程序的aspnet_client下的WebUIValidation.js和SmartNav.js文件就会失效,验证通过却无法提交.通过比较,有几个地方不同原.net1.1下的WebUIValidation.jsfunctionValidatorCommonOnSubmit(){varresult=!Page_BlockSubmit;Pa