采取一些基本措施來保護(hù) Web 應(yīng)用程序

即使您對應(yīng)用程序安全性的體驗和了解非常有限，也應(yīng)采取一些基本措施來保護(hù)您的 Web 應(yīng)用程序。本主題的以下各部分提供了適用于所有 Web 應(yīng)用程序的最低安全性準(zhǔn)則。有關(guān)編寫安全代碼和確保應(yīng)用程序安全的最佳做法的更多詳細(xì)信息，請參見由 Michael Howard 和 David LeBlanc 編寫的書籍《編寫安全代碼》以及由“Microsoft Patterns and Practices”（Microsoft 模式和實踐）提供的指導(dǎo)。

常規(guī) Web 應(yīng)用程序安全性建議

使用最少特權(quán)運行應(yīng)用程序

了解您的用戶

防止惡意用戶的輸入

安全地訪問數(shù)據(jù)庫

創(chuàng)建安全的錯誤消息

保證敏感信息的安全

安全地使用 Cookie

防止拒絕服務(wù)威脅

常規(guī) Web 應(yīng)用程序安全性建議

如果惡意用戶可以使用簡單方法進(jìn)入您的計算機(jī)，即使是最精心設(shè)計的應(yīng)用程序安全性也會失敗。常規(guī) Web 應(yīng)用程序安全性建議包括以下內(nèi)容：

經(jīng)常備份數(shù)據(jù)，并將備份存放在安全的場所。

將您的 Web 服務(wù)器放置在安全的場所，使未經(jīng)授權(quán)的用戶無法訪問它、關(guān)閉它、帶走它，等等。

使用 Windows NTFS 文件系統(tǒng)，不使用 FAT32。NTFS 的安全性比 FAT32 高得多。有關(guān)詳細(xì)信息，請參見 Windows 幫助文檔。

使用不易破解的密碼，保護(hù) Web 服務(wù)器和同一網(wǎng)絡(luò)上的所有計算機(jī)的安全。

遵循用于確保 Internet 信息服務(wù) (IIS) 安全的最佳做法。有關(guān)詳細(xì)信息，請參見“Windows Server TechCenter for IIS”（用于 IIS 的 Windows Server TechCenter）。

關(guān)閉任何不使用的端口并關(guān)閉不使用的服務(wù)。

運行監(jiān)視網(wǎng)站通信量的病毒檢查程序。

使用防火墻。有關(guān)建議，請參見 Microsoft 安全網(wǎng)站上的“Microsoft Firewall Guidelines”（Microsoft 防火墻準(zhǔn)則）。

了解和安裝來自 Microsoft 和其他供應(yīng)商的最新安全更新。

使用 Windows 事件日志記錄，并且經(jīng)常檢查這些日志，以查找可疑活動。這樣的活動包括：反復(fù)嘗試登錄您的系統(tǒng)，以及向您的 Web 服務(wù)器發(fā)出數(shù)量巨大的請求。

使用最少特權(quán)運行應(yīng)用程序

當(dāng)您的應(yīng)用程序運行時，它運行在一個具有本地計算機(jī)（還可能是遠(yuǎn)程計算機(jī)）的特定特權(quán)的上下文中。有關(guān)配置應(yīng)用程序標(biāo)識的信息，請參見 配置 ASP.NET 進(jìn)程標(biāo)識。

若要以最少特權(quán)運行，請遵循以下準(zhǔn)則：

不要以系統(tǒng)用戶（管理員）身份運行應(yīng)用程序。

在具有最少實用特權(quán)的用戶上下文中運行應(yīng)用程序。

設(shè)置應(yīng)用程序所需的所有資源上的權(quán)限（ACL 或訪問控制列表）。使用最嚴(yán)格的設(shè)置。例如，如果在您的應(yīng)用程序中是可行的，則將文件設(shè)置為只讀。有關(guān) ASP.NET 應(yīng)用程序標(biāo)識所需的最少 ACL 權(quán)限的列表，請參見 ASP.NET 必需的訪問控制列表 (ACL)。

將您的 Web 應(yīng)用程序的文件保存在應(yīng)用程序根目錄下的一個文件夾中。不要讓用戶指定在應(yīng)用程序中進(jìn)行文件訪問的路徑。這樣有助于防止用戶訪問服務(wù)器的根目錄。

了解您的用戶

在許多應(yīng)用程序中，用戶有可能不必提供憑據(jù)即可訪問網(wǎng)站。如果是這樣，則您的應(yīng)用程序通過在預(yù)定義用戶的上下文中運行即可訪問資源。默認(rèn)情況下，此上下文是 Web 服務(wù)器上的本地 ASPNET 用戶（Windows 2000 或 Windows XP）或 NETWORK SERVICE 用戶 (Windows Server 2003)。

若要僅允許已授權(quán)用戶進(jìn)行訪問，請遵循以下準(zhǔn)則：

如果您的應(yīng)用程序是 Intranet 應(yīng)用程序，則將其配置為使用 Windows 集成安全性。這樣，用戶的登錄憑據(jù)就可以用于訪問資源。

如果您需要從用戶收集憑據(jù)，則使用其中一種 ASP.NET 身份驗證策略。有關(guān)示例，請參見 ASP.NET Forms 身份驗證概述。

防止惡意用戶的輸入

通常，決不假定從用戶獲得的輸入是安全的。對惡意用戶來說，從客戶端向您的應(yīng)用程序發(fā)送潛在危險的信息是很容易的。若要幫助防止惡意輸入，請遵循以下準(zhǔn)則：

在窗體中，篩選用戶輸入以查找 HTML 標(biāo)記，其中可能包含腳本。有關(guān)詳細(xì)信息，請參見 如何：通過對字符串應(yīng)用 HTML 編碼在 Web 應(yīng)用程序中防止腳本侵入。

決不回顯（顯示）未經(jīng)篩選的用戶輸入。在顯示不受信任的信息之前，對 HTML 進(jìn)行編碼以將潛在有害的腳本轉(zhuǎn)換為顯示字符串。

類似地，決不將未經(jīng)篩選的用戶輸入存儲在數(shù)據(jù)庫中。

如果要接受來自用戶的一些 HTML，則手動篩選它。在您的篩選器中，顯式定義將要接受的內(nèi)容。不要創(chuàng)建一個試圖篩選出惡意輸入的篩選器；因為預(yù)料到所有可能的惡意輸入是非常困難的。

不要假定您從標(biāo)頭（通常通過 Request 對象）獲得的信息是安全的。對查詢字符串、Cookie 等采取安全措施。注意，瀏覽器向服務(wù)器報告的信息（用戶代理信息）可以被假冒（如果此信息在您的應(yīng)用程序中相當(dāng)重要）。

如有可能，不要將敏感信息（如隱藏字段或 Cookie）存儲在可從瀏覽器訪問的位置。例如，不要將密碼存儲在 Cookie 中。

視圖狀態(tài)是以編碼格式存儲在隱藏字段中的。默認(rèn)情況下，它包含消息身份驗證代碼 (MAC)，這樣頁可以確定視圖狀態(tài)是否已被篡改。

安全地訪問數(shù)據(jù)庫

數(shù)據(jù)庫通常具有它們自己的安全性。Web 應(yīng)用程序安全性的一個重要方面是設(shè)計一種應(yīng)用程序安全地訪問數(shù)據(jù)庫的方式。請遵循這些指導(dǎo)：

使用數(shù)據(jù)庫的內(nèi)在安全性來限制可以訪問數(shù)據(jù)庫資源的人員。確切的策略取決于您的數(shù)據(jù)庫和應(yīng)用程序：

如果在您的應(yīng)用程序中切實可行，請使用 Windows 集成安全性以便只有 Windows 授權(quán)的用戶才能訪問數(shù)據(jù)庫。集成安全性比使用 SQL Server 標(biāo)準(zhǔn)安全性更安全。

如果您的應(yīng)用程序使用匿名訪問，請創(chuàng)建具有非常有限的權(quán)限的單個用戶，并以此用戶身份連接來執(zhí)行查詢。

不要通過串聯(lián)涉及用戶輸入的字符串創(chuàng)建 SQL 語句。相反，創(chuàng)建參數(shù)化查詢并使用用戶輸入設(shè)置參數(shù)值。

如果您必須將用戶名和密碼存儲在某個位置以用作數(shù)據(jù)庫登錄憑據(jù)，請安全地存儲它們。如果可行，請對它們進(jìn)行加密或計算哈希值。有關(guān)詳細(xì)信息，請參見加密和解密數(shù)據(jù)。

有關(guān)安全地訪問數(shù)據(jù)的更多信息，請參見保證 ADO.NET 應(yīng)用程序的安全。

創(chuàng)建安全的錯誤消息

如果您不小心，惡意用戶就可以從應(yīng)用程序顯示的錯誤消息推斷出有關(guān)您的應(yīng)用程序的重要信息。請遵循這些指導(dǎo)：

不要編寫會回顯可能對惡意用戶有用的信息（例如用戶名）的錯誤消息。

將應(yīng)用程序配置為不向用戶顯示詳細(xì)錯誤。如果為進(jìn)行調(diào)試而要顯示詳細(xì)錯誤消息，請先檢查該用戶是否為 Web 服務(wù)器的本地用戶。有關(guān)詳細(xì)信息，請參見如何：顯示安全錯誤信息。

使用 customErrors 配置元素控制誰可以查看服務(wù)器發(fā)出的異常。

對于容易發(fā)生錯誤的情況（如數(shù)據(jù)庫訪問）創(chuàng)建自定義錯誤處理方式。

保證敏感信息的安全

“敏感信息”是需要保密的任意信息。密碼或加密密鑰即是典型的敏感信息。如果惡意用戶可以獲得敏感信息，則該信息保護(hù)的數(shù)據(jù)將受到威脅。請遵循這些指導(dǎo)：

如果您的應(yīng)用程序在瀏覽器和服務(wù)器之間傳輸敏感信息，請考慮使用安全套接字層 (SSL)。有關(guān)如何使用 SSL 加密網(wǎng)站的詳細(xì)信息，請參見 Microsoft 知識庫中的文章 Q307267，“How to: Secure XML Web Services with Secure Sockets Layer in Windows 2000”（如何：在 Windows 2000 中使用安全套接字層確保 XML Web 服務(wù)的安全）。

使用受保護(hù)的配置來確保配置文件（如 Web.config 或 Machine.config 文件）中敏感信息的安全。有關(guān)更多信息，請參見 使用受保護(hù)的配置加密配置信息。

如果您必須存儲敏感信息，即使是以您認(rèn)為人們將無法看到它的形式（如在服務(wù)器代碼中）進(jìn)行保存，也不要將它保存在網(wǎng)頁中。

使用 System.Security.Cryptography 命名空間中提供的強(qiáng)加密算法。

安全地使用 Cookie

為了讓用戶特定的信息保持可用，Cookie 是一種容易而有用的方法。但是，由于 Cookie 會被發(fā)送到瀏覽器所在的計算機(jī)，因此它們?nèi)菀妆患倜盎蛴糜谄渌麗阂庥猛尽Ｕ堊裱@些指導(dǎo)：

不要將任何關(guān)鍵信息存儲在 Cookie 中。例如，不要將用戶的密碼存儲在 Cookie 中，即使是暫時存儲也不要這樣做。作為一項原則，不要在 Cookie 中存儲任何敏感信息。而是在 Cookie 中保存對信息在服務(wù)器上的位置的引用。

將 Cookie 的過期日期設(shè)置為可以設(shè)置的最短時間。盡可能避免使用永久的 Cookie。

考慮對 Cookie 中的信息加密。

考慮將 Cookie 的 Secure 和 HttpOnly 屬性設(shè)置為 true。

防止拒絕服務(wù)威脅

惡意用戶危害您的應(yīng)用程序的一種間接方式是使其不可用。惡意用戶可以使應(yīng)用程序太忙而無法為其他用戶提供服務(wù)，或者僅僅使應(yīng)用程序出現(xiàn)故障。請遵循這些指導(dǎo)：

關(guān)閉或釋放您使用的任何資源。例如，在使用完畢后，始終關(guān)閉數(shù)據(jù)連接和數(shù)據(jù)讀取器，而且始終關(guān)閉文件。

使用錯誤處理機(jī)制（例如，try/catch 塊）。包含 finally 塊，以便萬一失敗就可以在其中釋放資源。

將 IIS 配置為使用調(diào)節(jié)，這樣可以防止應(yīng)用程序消耗過多的 CPU。

在使用或存儲用戶輸入之前，測試它的大小限制。

對數(shù)據(jù)庫查詢設(shè)置大小保護(hù)措施，以防止大型查詢耗盡系統(tǒng)資源。