解决 Web 应用程序的安全问题,可以保护您的服务器免受恶意代码的攻击,并保护数据不被破坏。您可以使用多种方法来保护服务器。
通过禁用 XML Web services 的动态发现功能来禁止用户查找和运行您的 XML Web services。
在允许用户访问服务器之前,通过身份验证来验证用户的标识。
通过使用 ASPNET 进程标识,可以更好地调整用户可以使用的资源。
下面将详细讨论每一种方法。
动态发现
动态发现是 .NET 框架的一项功能,它允许 Web 浏览器查找在服务器上运行的 XML Web services。找到 XML Web service 后,用户就可以调用该 XML Web services 的方法。动态发现虽然为用户提供了强大的功能,但同时也给服务器带来潜在的安全危险。多数情况下,您不需要启用动态发现功能。安装 .NET 框架时,动态发现在默认情况下处于禁用状态。这并不表示 XML Web services 不可用,而只表示服务器将不提供可用服务的目录。客户端仍然可以使用 XML Web services,但您需要向其提供该服务的确切位置。
警告:禁用动态发现后,您需要将 XML Web services 的位置发送给客户端。
在部署服务器上,有两个项可以控制 XML Web services 的发现功能。第一项(machine.config 文件)控制服务器的整体发现功能。machine.config 文件是一个包含控制服务器上 Web 应用程序的设置的 XML 文件,它位于 \%windows%Microsoft.NETFrameworkVersionConfig 文件夹。此文件包含一个默认情况下被注释掉的元素。要启用发现功能,您需要删除这些注释字符。还需要使用 ASPNET 帐户来运行应用程序,如下一节“ASPNET 进程标识”中所述。
第二项是一个发现文件。发现文件可以是默认的发现文件 (default.vsdisco),也可以是 XML Web services 特定的发现文件。它是一个 XML 文件,包含有关 XML Web services 文件位置的信息。
要客户端能够发现特定的 XML Web services,您需要在 machine.config 文件中启用发现功能,并创建和部署应用程序的发现文件。发现文件是一个仅列出不包含 XML Web services 的路径的 XML 文件。下面提供了一个示例。有关创建和部署此文件的完整说明,请参阅 Deploying XML Web Services in Managed Code(英文)。
如果您的部署服务器安装有 Visual Studio .NET,则 Web 根文件夹将包含默认的发现文件 (default.vsdisco),该文件是在 Visual Studio .NET 的安装过程中创建的。如果服务器中包含此文件并且在 machine.config 文件中启用了发现功能,则可以发现服务器上的所有 XML Web services。如果要禁止发现 XML Web services,则需要删除此文件。
警告:如果部署服务器安装了 Visual Studio .NET,则在服务器投入使用之前应该删除 default.vsdisco 文件。
建议您不要在已安装 Visual Studio .NET 的服务器上部署 XML Web services。Visual Studio .NET 安装程序会将可以使用的文件和用户都添加到您的系统上。您可以保护已安装 Visual Studio .NET 的系统的安全,但是,如果不需要在部署服务器上安装 Visual Studio .NET,建议您不要安装。
有关启用动态发现的详细信息,请参阅 Enabling Discovery for an XML Web services(英文)和 Fine-Tuning Discovery Mechanisms(英文)。
