ASP應用程序的維護方法

　　ASP應用程序的維護方法

　　ASP是位于服務(wù)器端的腳本運行環(huán)境，通過(guò)這種環(huán)境，用戶(hù)可以創(chuàng )建和運行動(dòng)態(tài)的交互式Web 服務(wù)器應用程序。ASP使用的ActiveX技術(shù)基于開(kāi)放設計環(huán)境，用戶(hù)可以自己定義和制作組件 加入其中，使自己的動(dòng)態(tài)網(wǎng)頁(yè)幾乎具有無(wú)限的擴充能力。ASP還可利用ADO方便快捷地訪(fǎng)問(wèn)數 據庫,從而使得開(kāi)發(fā)基于WWW的應用系統成為可能。但是，千萬(wàn)不要輕視正確配置安全設置的 重要性。如果不正確配置安全設置，不但會(huì )使您的ASP應用程序遭受不必要的篡改，而且會(huì ) 妨礙正當用戶(hù)訪(fǎng)問(wèn)您的asp文件。Web服務(wù)器提供了各種方法，保護您的ASP應用程序不被 未授權的用戶(hù)訪(fǎng)問(wèn)和篡改。

　　1 NTFS 權限

　　您可以通過(guò)單獨的文件和目錄應用NTFS訪(fǎng)問(wèn)權限來(lái)保護ASP應用程序文件。NTFS 權限是We b服務(wù)器安全性的基礎，它定義了一個(gè)或一組用戶(hù)訪(fǎng)問(wèn)文件和目錄的不同級別。當擁有Windo ws NT 有效帳號的用戶(hù)試圖訪(fǎng)問(wèn)一個(gè)有權限限制的文件時(shí)，計算機將檢查文件的訪(fǎng)問(wèn)控制表 。該表定義了不同用戶(hù)和用戶(hù)組所被賦予的權限。如果用戶(hù)的帳號具有打開(kāi)文件的權限，計 算機則允許該用戶(hù)訪(fǎng)問(wèn)文件。

　　2 維護Global asa的安全

　　為了充分保護 ASP 應用程序，一定要在應用程序的Global asa文件上為適當的用戶(hù)或用戶(hù) 組設置NTFS文件權限。如果Global asa包含向瀏覽器返回信息的命令而您沒(méi)有保護 Global asa文件，則信息將被返回給瀏覽器，即便應用程序的其他文件被保護。而且，一定 要對應用程序的文件應用統一的NTFS權限。

　　3 Web 服務(wù)器權限

　　可以通過(guò)配置的Web服務(wù)器的權限來(lái)限制所有用戶(hù)查看、運行和操作的ASP頁(yè)的方式。不同于 NTFS權限提供的控制特定用戶(hù)對應用程序文件和目錄的訪(fǎng)問(wèn)方式，Web服務(wù)器權限應用于所 有用戶(hù)，并且不區分用戶(hù)帳號的類(lèi)型。對于要運行您的ASP應用程序的用戶(hù)，在設置Web服務(wù) 器權限時(shí)，必須遵循下列原則：

　　對包含 asp文件的虛擬目錄允許“讀”或“腳本”權限；對 asp文件和其他包含腳本的文 件所在的虛目錄允許“讀”或“腳本”權限；對包含 asp文件和其他需要“執行”權限才 能運行的文件的虛目錄允許“讀”和“執行”權限。

　　4 腳本映射文件

　　應用程序的腳本映射保證了Web服務(wù)器不會(huì )意外地下載 asp文件的源代碼。例如，即使您為 包含了某個(gè) asp文件的目錄設置了“讀”權限，只要該 asp文件隸屬于某個(gè)腳本映射應用 程序，那么您的Web服務(wù)器就不會(huì )將該文件的源代碼返回給用戶(hù)。

　　5 Cookie 安全性

　　ASP 使用SessionID cookie跟蹤應用程序訪(fǎng)問(wèn)或會(huì )話(huà)期間特定的Web瀏覽器的信息。這就是 說(shuō)，帶有相應的 cookie 的 HTTP 請求被認為是來(lái)自同一Web瀏覽器。Web服務(wù)器可以使用Se ssionID cookies 配置帶有用戶(hù)特定會(huì )話(huà)信息的ASP應用程序。

　　5.1 SessionID能否被黑客猜中

　　為了防止計算機黑客猜中SessionID cookie并獲得對合法用戶(hù)的會(huì )話(huà)變量的訪(fǎng)問(wèn)，Web 服務(wù) 器為每個(gè)SessionID指派一個(gè)隨機生成號碼。

　　每當用戶(hù)的Web瀏覽器返回一個(gè) SessionID coo kie時(shí)，服務(wù)器取出SessionID和被賦予的數字，接著(zhù)檢查是否與存儲在服務(wù)器上的`生成號碼 一致。若兩個(gè)號碼一致，將允許用戶(hù)訪(fǎng)問(wèn)會(huì )話(huà)變量。這一技術(shù)的有效性在于被賦予的數字的 長(cháng)度（64 位），此長(cháng)度使計算機黑客猜中SessionID從而竊取用戶(hù)的活動(dòng)會(huì )話(huà)的可能性幾乎 為0。

　　5.2 加密重要的SessionID Cookie

　　截獲了用戶(hù)sessionID cookie的計算機黑客可以使用此cookie假冒該用戶(hù)。如果ASP應用程 序包含私人信息，信用卡或銀行帳戶(hù)號碼，擁有竊取的cookie的計算機黑客就可以在應用程 序中開(kāi)始一個(gè)活動(dòng)會(huì )話(huà)并獲取這些信息。您可以通過(guò)對您的Web服務(wù)器和用戶(hù)的瀏覽器間的 通訊鏈路加密來(lái)防止SessionID cookie被截獲。

　　6 使用身份驗證機制保護被限制的ASP內容

　　您可以要求每個(gè)試圖訪(fǎng)問(wèn)被限制的ASP內容的用戶(hù)必須要有有效的Windows NT帳號的用戶(hù)名 和密碼。每當用戶(hù)試圖訪(fǎng)問(wèn)被限制的內容時(shí)，Web服務(wù)器將進(jìn)行身份驗證，即確認用戶(hù)身份 ，以檢查用戶(hù)是否擁有有效的Windows NT帳號。Web服務(wù)器支持以下幾種身份驗證方式：

　　6.1 基本身份驗證 提示用戶(hù)輸入用戶(hù)名和密碼

　　Windows NT請求/響應式身份驗證 從用戶(hù)的Web瀏覽器通過(guò)加密方式獲取用戶(hù)身份信息。 然 而，Web服務(wù)器僅當禁止匿名訪(fǎng)問(wèn)或Windows NT文件系統的權限限制匿名訪(fǎng)問(wèn)時(shí)才驗證用戶(hù) 身份。

　　6.2 保護元數據庫

　　訪(fǎng)問(wèn)元數據庫的ASP腳本需要Web服務(wù)器所運行的計算機的管理員權限。在從遠程計算機上運 行這些腳本時(shí)，須經(jīng)已通過(guò)身份驗證的連接，如使用 Windows NT 請求/響應驗證方式進(jìn)行 連接。應該為管理級 asp文件創(chuàng )建一個(gè)服務(wù)器或目錄并將其目錄安全驗證方式設置為 Wind ows NT 請求/響應式身份驗證。目前，僅 Microsoft Internet Explorer version 20 或 更高版本支持Windows NT請求/響應式身份驗證。

　　7 使用SSL維護應用程序的安全

　　SSL 協(xié)議作為Web服務(wù)器安全特性，提供了一種安全的虛擬透明方式來(lái)建立與用戶(hù)的加密通 訊連接。SSL保證了Web內容的驗證，并能可靠地確認訪(fǎng)問(wèn)被限制的Web站點(diǎn)的用戶(hù)的身份。

　　7.1 通過(guò)SSL可以被限制的程序

　　(1)通過(guò)SSL，您可以要求試圖訪(fǎng)問(wèn)被限制的ASP應用程序的用戶(hù)與您的服務(wù)器建立一個(gè)加密 連接；以防用戶(hù)與應用程序間交換的重要信息被截取。

　　7.2 維護包含文件的安全

　　如果您從位于沒(méi)有保護的虛擬根目錄中的 asp文件中包含了位于啟用了SSL的目錄中的文件 ，則SSL將不被應用于被包含文件。因此，為了保證應用SSL，應確保包含及被包含的文件都 位于啟用了SSL的目錄中。

　　7.3 客戶(hù)資格認證

　　控制對您的ASP應用程序訪(fǎng)問(wèn)的一種十分安全的方法是要求用戶(hù)使用客戶(hù)資格登錄�？蛻�(hù)資 格是包含用戶(hù)身份信息的數字身份證。用戶(hù)通常從委托的第三方組織獲得客戶(hù)資格，第三方 組織在發(fā)放資格證之前確認用戶(hù)的身份信息。 每當用戶(hù)試圖登錄

　　到需要資格驗證的應用程序時(shí)，用戶(hù)的Web瀏覽器會(huì )自動(dòng)向服務(wù)器發(fā)送用 戶(hù)資格。如果Web服務(wù)器的SSL資格映射特性配置正確，那么服務(wù)器就可以在許可用戶(hù)對ASP 應用程序訪(fǎng)問(wèn)之前對其身份進(jìn)行確認。

　　8 創(chuàng )建事務(wù)性腳本

　　應用程序常常需要具有在事務(wù)內部運行腳本和組件的能力。事務(wù)是一種服務(wù)器操作，即使該 操作包括很多步驟，也只能整體返回操作是成功還是失敗。用戶(hù)可以創(chuàng )建在事務(wù)內部運行的 ASP腳本，如果腳本的任何一部分失敗，整個(gè)事務(wù)都將會(huì )終止。

【ASP應用程序的維護方法】相關(guān)文章：

硬件維護的方法07-16

不同硬盤(pán)的維護方法06-13

硬件日常維護方法09-05

各類(lèi)硬盤(pán)的維護方法07-24

部分硬件維護方法12-15

硬件常見(jiàn)維護方法08-10

常見(jiàn)的CPU故障及維護方法10-19

硬件日�；�礎維護方法11-15

硬件軟件日常維護的方法06-13

電腦硬件的維護方法07-11