ASP.NET Web 应用程序安全性

更新：2007 年 11 月

与 Microsoft Internet 信息服务 (IIS) 一起使用的 ASP.NET 可以使用以下任意一种身份验证方法来验证用户凭据（如用户名和密码）：

• Windows：基本、摘要式或集成 Windows 身份验证（NTLM 或 Kerberos）。

• Forms 身份验证，您可以通过该身份验证在您的应用程序中创建登录页并管理身份验证。

• 客户证书身份验证

通过将已验证凭据或它们的表示形式与某些内容进行比较，ASP.NET 可以控制对站点信息的访问；这些内容可以是 NTFS 文件系统权限，也可以是列出了已授权用户、已授权角色（组）或已授权 HTTP 谓词的 XML 文件。

本节包含描述 ASP.NET 安全性的具体信息的主题。

本节内容

• ASP.NET 安全性的工作原理

• Web 应用程序安全威胁概述

• Web 应用程序的基本安全实施策略

• 使用 ASP.NET 存储敏感信息

• 限制对 ASP.NET 网站的访问

• 脚本侵入概述

• 如何：显示安全错误信息

• 从 Web 应用程序访问 SQL Server

• 运行时的 Web 应用程序安全性

• 寄宿环境中的 ASP.NET 应用程序安全性

参考

• System.Web.Security
  描述 ASP.NET 安全功能所需的类。

相关章节

• 保证 ASP.NET 网站的安全
  描述常见的网站安全攻击类型以及如何阻止这些攻击。

• .NET Framework 中的安全性
  描述常规 .NET Framework 安全性概念、服务和最佳做法。