asp程序员-维护 ASP 应用程序的安全

1、asp程序员-维护 ASP 应用程序的安全代写论文<%必须将Web服务器配置为接受或需要客户资格，论文发表然后才能通过ASP处理客户资格；否则，ClientCertificate集合将为空。提交或终止脚本    Response.Write"<HTML>"<%TRANSACTION=value%>维护包含文件的安全%>每当用户试图登录到需要资格验证的应用程序时，用户的Web浏览器会自动向服务器发送用户资格。如果Web服务器的SecureSocketsLayer(SSL)资格映射特性配置正确，那么服务

2、器就可以在许可用户对ASP应用程序访问之前对其身份进行确认。截获了用户sessionIDcookie的计算机黑客可以使用此cookie假冒该用户。如果ASP应用程序包含私人信息，信用卡或银行帐户号码，拥有窃取的cookie的计算机黑客就可以在应用程序中开始一个活动会话并获取这些信息。您可以通过对您的Web服务器和用户的浏览器间的通讯链路加密来防止SessionIDcookie被截获。有关加密的详细信息，请参阅安全性。    Requires_New启动一个新的事务。在MTS资源管理挛駭并让MTS处理事务的一致性。事务处理只适用于数据库访问；MTS不能对文

3、件系统或其他的非事务性资源的更改进行恢复操作。应用程序所访问的数据库必须为MTS所支持。目前，MTS支持SQLServer及任何支持XA协议（由X/Open协会制定）的服务器。MTS将继续扩展对其他数据库的支持。<P>Thankyou.Yourtransactionisbeingprocessed.</P>BankAction.Deposit(Request("AcctNum")因为TransactionServer跟踪事务处理，所以它决定事务是完全成功还是失败。脚本可以通过调用ObjectContext.SetAbort显式地声明终止一个事务。例如

4、，当一个事务在从一个组件收到错误消息、违反商业规范时（例如，帐户余额小于0）或读写文件等非事务性操作失败时，脚本就需要终止该事务。如果页在事务完成之前超时，也必须终止事务。Response.Write"<BODY>"您可以通过为单独的文件和目录应用NTFS访问权限来保护ASP应用程序文件。NTFS权限是Web服务器安全性的基础，它定义了一个或一组用户访问文件和目录的不同级别。当拥有WindowsNT有效帐号的用户试图访问一个有权限限制的文件时，计算机将检查文件的访问控制表(ACL)。该表定义了不同用户和用户组所被赋予的权限。如果用户的帐号具有打开文件的权限，计算

5、机则允许该用户访问文件。例如，Web服务器上的Web应用程序的所有者需要有摳臄权限来查看、更改和删除应用程序的.asp文件。但是，访问该应用程序的公共用户应仅被授予撝欢翑权限，以便将其限制为只能查看而不能更改应用程序的Web页。    <BODY>一般情况下，不要将从MTS组件中创建的对象存储在ASPApplication或Session对象中。MTS对象在事务完成后消失。因为Session对象和Application对象是为在不同ASP页之间使用的对象实例设计的，所以不要用它们保存在事务结束时即被释放的对象。如果事务被终止，Transact

6、ionServer将恢复对支持事务的资源的任何更改。目前，仅数据库服务器完全支持事务，因为数据库中的数据对于企业应用是最为关键的。TransactionServer不对硬盘上的文件、会话和应用程序的变量、集合等的改变进行恢复。然而您可以如下文主题所述，通过编写事务事件来编写恢复变量和集合的脚本。在某些时候，您的脚本也可以显式的提交或终止一个事务，如向文件写数据失败时。控制对您的ASP应用程序访问的一种十分安全的方法是要求用户使用客户资格登录。客户资格是包含用户身份信息的数字身份证，它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第三方组织获得客户资格，第三方组织在发放资格证之

7、前确认用户的身份信息。（通常，这类组织要求姓名、地址、电话号码及所在组织名称；此类信息的详细程度随给予的身份等级而异。）有关配置Web服务器权限的详细信息，请参阅访问控制。为了防止计算机黑客猜中SessionIDcookie并获得对合法用户的会话变量的访问，Web服务器为每个SessionID指派一个随机生成号码。每当用户的Web浏览器返回一个SessionIDcookie时，服务器取出SessionID和被赋予的数字，接着检查是否与存储在服务器上的生成号码一致。若两个号码一致，将允许用户访问会话变量。这一技术的有效性在于被赋予的数字的长度（64位），此长度使计算机黑客猜中SessionID从

8、而窃取用户的活动会话的可能性几乎为0。如果您从位于没有保护的虚拟根目录中的.asp文件中包含了位于启用了SSL的目录中的文件，则SSL将不被应用于被包含文件。因此，为了保证应用SSL，应确保包含及被包含的文件都位于启用了SSL的目录中。'Displaythispageifthetransactionfails.创建事务性脚本<%<HTML>对包含.asp文件的虚拟目录允许摱翑或摻疟緮权限。加密重要的SessionIDCookie在将一个页声明为事务性时，此页中的任何脚本命令和对象都运行在同一个事务环境中。TransactionServer处理生成事务的细节并决定事务成

9、功（提交）或失败（终止）。要将某个页声明为事务性，可在页首添加TRANSACTION指令：<H1>Welcometotheonlinebankingservice</H1><%TRANSACTION=Required%>您可以要求每个试图访问被限制的ASP内容的用户必须要有有效的WindowsNT帐号的用户名和密码。每当用户试图访问被限制的内容时，Web服务器将进行身份验证，即确认用户身份，以检查用户是否拥有有效的WindowsNT帐号。</BODY>Response.Flush()Cookie安全性    

10、;事务排队有关在ASP应用程序中使用消息队列的示例，请参阅开发人员范例。要查看这些示例，必须安装SDK文档。%>Response.Write"Weareunabletocompleteyourtransaction."SubOnTransactionCommit()'Bufferoutputsothatdifferentpagescanbedisplayed.ASP事务处理是以Microsoft?TransactionServer(MTS)为基础的。Microsoft?TransactionServer(MTS)是一个事务处理系统，用于开发、配置和管理高性能、可分级的、有鲁