我正在寻找开发过程中Web应用程序中安全配置管理的最佳实践。我有两种情况。
在开发期间,开发人员需要在IIS中设置安全性和https才能实现这一点。是否存在Asp.Net或其他编程语言中的最佳实践,以便在开发期间禁用安全性,以便开发人员不必在托管应用程序的本地IIS服务器(而不是Cassini)中设置安全性,也不必在标头中提供凭据。调试。
答案 0 :(得分:0)
最佳做法是不允许禁用安全性。如果您正在使用表单身份验证,则不需要在IIS中设置安全性,只需在应用程序中设置,并且Visual Studio可以轻松地添加开发证书以启用HTTPS。
最后一个最佳做法:使用ASP.NET身份,而不是AspNetMembership用于您的身份提供者。 AspNetMembership在这一点上是遗留的,并不遵循现代安全最佳实践。