C代码安全性.docVIP

C#强化系列文章九：代码访问安全性使用 在.Net Framework中提供了代码访问安全性(Code Access Security)，它的主要作用就是限制代码的使用权限。可以控制各种系统资源的访问权限、可以要求代码的调用方拥有特定的权限......。比如我们可以控制自己的dll只能在什么条件下由什么人调用，特别是在A中可以限制不同代码的安全权限，从源头限制住网络上的攻击等。 本文的主要内容如下： 1、在Asp.Net中使用自定义的信任级别 2、配置Sqlconnection的代码访问权限 3、实现和使用一个最简版的自定义权限 在Asp.Net中使用自定义的信任级别 Asp.Net默认在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config中配置了网站的信任级别： securityPolicy trustLevel name =Full policyFile =internal / trustLevel name =High policyFile =web_hightrust.config / trustLevel name =Medium policyFile =web_mediumtrust.config / trustLevel name =Low policyFile =web_lowtrust.config / trustLevel name =Minimal policyFile =web_minimaltrust.config / / securityPolicy trust level =Full originUrl = / 默认为Full，表示拥有最大的权限，当然风险也就最高，我们可以在自己的网站下的web.config中自定义信任级别： securityPolicy trustLevel name =Custom policyFile =E:\_NetProject\PermissionTrust\WebSite11\web_customtrust.config / / securityPolicy trust level =Custom originUrl = / 这里使用了自定义的配置文件，其实也就是复制C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_lowtrust.config文件，然后在此文件上进行适当修改就可以了(使用此配置默认是不允许连接数据库的 ) 配置Sqlconnection的代码访问权限 配置的方法就是修改自定义的web_customtrust.config文件，修改后的文件如下所示：粗体部分为修改点 web_customtrust.config configuration mscorlib security policy PolicyLevel version =1 SecurityClasses SecurityClass Name =AllMembershipCondition Description =System.Security.Policy.AllMembershipCondition, mscorlib, Version=, Culture=neutral, PublicKeyToken=b77a5c561934e089 / SecurityClass Name =AspNetHostingPermission Description =System.Web.AspNetHostingPermission, System, Version=, Culture=neutral, PublicKeyToken=b77a5c561934e089 / SecurityClass Name =FileIOPermission Description =System.Security.Permissions.FileIOPermission, mscorlib, Version=, Cu