中小型网站电子课件——第10章 网站管理、维护及安全.pptVIP

10.4 网站的安全 下面我们来分析一下js.asp如何进行验证以及发送JavaScript代码。程序首先检查会话变量auth，看看请求的起源是否合法。如是，则关闭浏览器缓存，重新设置会话变量，然后向浏览器发送JavaScript代码。如果对js.asp的请求不是来自可靠的起源，会话变量auth是false，程序只发送一个带有版权声明的空白页面。如果用户企图下载JavaScript源文件或者在另一个网站上使用JavaScript源文件，他得到的只是一个空白页面。这样，我们也就实现了对谁可以访问DHTML源文件的控制。 第10章 网站管理、维护及安全 10.4 网站的安全 如果要在Web页面中保护页面实际内容的HTML代码，你可以在js.asp文件中创建一个函数，如下所示： function html(){ document.write( html body 页面内容 \/body \/html ); }  然后，主页面只需简单地调用一下html()即可构造出Web页面。这种页面只有在用户启用了浏览器的JavaScript支持之后才会显示。如果用户查看这种页面的源代码，他看到的只有一个函数调用，而不会看到函数调用所返回的源代码。 第10章 网站管理、维护及安全 10.4 网站的安全 　ASP文件安全设置 ASP文件及设置的安全与否直接网站的安全问题。本节重点来讨论ASP安全方面要注意的问题。 1、?维护?Global.asa?的安全 为了充分保护?ASP?应用程序，一定要在应用程序的?Global.asa?文件上为适当的用户或用户组设置文件权限。如果?Global.asa?包含向浏览器返回信息的命令而您没有保护?Global.asa?文件，则信息将被返回给浏览器。 2、?不把密码、物理路径直接写在ASP文件中 很难保证您的ASP程序是否会给人拿到，即使你安装了最新的补丁。为了安全起见，应该把密码和用户名保存在数据库中，使用虚拟路径。 3、?在程序中记录用户的详细信息 这些信息包括用户的浏览器、用户停留的时间，用户IP等。其中记录IP是最有用的。可用下面的语句了解客户端和服务端的信息： 第10章 网站管理、维护及安全 10.4 网站的安全 Table%for?each?name?in?request.servervariables% trtd%=name%:/td td%=request.servervariables(name)%/td /tr %next%/table 如果记录了用户的IP，就能通过追捕来查用户的具体地点。 4、?Cookie?安全性 ASP?使用?SessionID?cookie?跟踪应用程序访问或会话期间特定的?Web?浏览器的信息。这就是说，带有相应的?cookie?的?HTTP?请求被认为是来自同一?Web?浏览器。Web?服务器可以使用?SessionID?cookies?配置带有用户特定会话信息的?ASP?应用程序。为了防止计算机黑客猜中?SessionID?cookie?并获得对合法用户的会话变量的访问，Web?服务器为每个?SessionID?指派一个随机生成号码。每当用户的?Web?浏览器返回一个?SessionID?cookie?时，服务器取出?SessionID?和被赋予的数字，接着检查是否与存储在服务器上的生成号码一致。 第10章 网站管理、维护及安全 10.4 网站的安全 若两个号码一致，将允许用户访问会话变量。这一技术的有效性在于被赋予的数字的长度（64?位），此长度使计算机黑客猜中?SessionID?从而窃取用户的活动会话的可能性几乎为?0。 如果?ASP?应用程序包含私人信息，信用卡或银行帐户号码，拥有窃取的?cookie?的计算机黑客就可以在应用程序中开始一个活动会话并获取这些信息。为防止截获了用户?sessionID?cookie?的计算机黑客可以使用此?cookie?假冒该用户。可以通对?Web?服务器和用户的浏览器间的通讯链路加密来防止?SessionID?cook?ie?被截获。 5、?使用身份验证机制保护被限制的?ASP?内容 可以要求每个试图访问被限制的?ASP?内容的用户必须要有有效的用户名和密码。每当用户试图访问被限制的内容时，Web?服务器将进行身份验证，即确认用户身份。Web?服务器支持以下几种身份验证方式： 基本身份验证?提示用户输入用户名和密码。 第10章 网站管理、维护及安全 10.4 网站的安全 Windows?NT?请求/响应式身份验证,从用户的?Web?浏览器通过加密方式获取用户身份信息。然而，Web?服务器仅当禁止匿名访问或?Windows?NT?文件系统的权限限