Visual Basic .NET 和 Visual C# .NET 程序员需要解决的安全问题(二)

其他资源
除了上面的概述中介绍的内容外，还有许多其他内容可供选择。以下主题更详细地讨论了代码访问安全性：
Introduction to Code Access Security（英文）
Code Access Security（英文）
Security Namespaces in Visual Studio（英文）
Web 应用程序
解决 Web 应用程序的安全问题，可以保护您的服务器免受恶意代码的攻击，并保护数据不被破坏。您可以使用多种方法来保护服务器。
通过禁用 XML Web services 的动态发现功能来禁止用户查找和运行您的 XML Web services。
在允许用户访问服务器之前，通过身份验证来验证用户的标识。
通过使用 ASPNET 进程标识，可以更好地调整用户可以使用的资源。
下面将详细讨论每一种方法。
动态发现
动态发现是 .NET 框架的一项功能，它允许 Web 浏览器查找在服务器上运行的 XML Web services。找到 XML Web service 后，用户就可以调用该 XML Web services 的方法。动态发现虽然为用户提供了强大的功能，但同时也给服务器带来潜在的安全危险。多数情况下，您不需要启用动态发现功能。安装 .NET 框架时，动态发现在默认情况下处于禁用状态。这并不表示 XML Web services 不可用，而只表示服务器将不提供可用服务的目录。客户端仍然可以使用 XML Web services，但您需要向其提供该服务的确切位置。
警告：禁用动态发现后，您需要将 XML Web services 的位置发送给客户端。
在部署服务器上，有两个项可以控制 XML Web services 的发现功能。第一项（machine.config 文件）控制服务器的整体发现功能。machine.config 文件是一个包含控制服务器上 Web 应用程序的设置的 XML 文件，它位于 %windows%Microsoft.NETFrameworkVersionConfig 文件夹。此文件包含一个默认情况下被注释掉的元素。要启用发现功能，您需要删除这些注释字符。还需要使用 ASPNET 帐户来运行应用程序，如下一节“ASPNET 进程标识”中所述。