对ASP.NET的部分信任

时间:2010-01-20 14:42:19

标签: asp.net code-access-security

ASP.NET环境中的部分信任配置有用吗?如果我有自己的服务器,我完全由管理员控制,设置部分信任只对以某种方式设法上传和执行恶意代码的攻击类型有用,但无法触及web.config以提高信任级别。这样的攻击可能吗?

2 个答案:

答案 0 :(得分:2)

几年来,我在这个墙上撞了我的头。有了中等信任,您很快就会发现许多第三方控件无法应对中等信任,并且您并不总是拥有源代码。只要您点击一行代码必须以完全信任的方式运行且不得放入GAC - 在我的情况下,制作组件时存在许可限制在GAC中可以共享 - 您将完全信任。

我的建议:

  • 等待.NET 4.0。 CAS模型已经简化。
  • 为每个请求启动一个appdomain,并在此时设置CAS权限列表。您只为整个应用程序域获得一个CAS策略。当您根据请求启动应用程序域时,观察性能和可伸缩性消失,了解应用程序间域通信通常很痛苦等等。

到目前为止,我认为某人必须使用中等信任的唯一原因是:折扣托管,您的组织需要它(因为它在检查列表中),因为您允许用户故意上传dll(比如你是在运行在线反编译服务还是编程竞赛,让用户提交最快的dll)。

答案 1 :(得分:0)

托管公司可以使用部分信任。如果您有自己的服务器,则不必担心它并将其设置为完全信任。

相关问题
最新问题