在ASP.NET中创建安全的web站点(1)

<?xml version="1.0" encoding="utf-8" ?> 
<configuration>    

<system.web>    

<!-- 动态调试编译 
设置 compilation debug="true" 以将调试符号（.pdb 信息） 
插入到编译页中。因为这将创建执行起来 
较慢的大文件，所以应该只在调试时将该值设置为 true，而所有其他时候都设置为 
false。有关更多信息，请参考有关 
调试 ASP.NET 文件的文档。 
--> 
<compilation defaultLanguage="vb" debug="true" /> 

<!-- 自定义错误信息 
设置 customErrors mode="On" 或 "RemoteOnly" 
以启用自定义错误信息，或设置为 "Off" 以禁用自定义错误信息。 
为每个要处理的错误添加 <error> 标记。 
--> 
<customErrors mode="RemoteOnly" /> 

<!-- 身份验证 
此节设置应用程序的身份验证策略。可能的模式是 \“Windows\”、 
\“Forms\”、\“Passport\”和 \“None\” 
--> 
<authentication mode="Windows" />    

<!-- 授权 
此节设置应用程序的授权策略。可以允许或拒绝用户或角色访问 
应用程序资源。通配符："*" 表示任何人，"?" 表示匿名 
（未授权的）用户。 
--> 
<authorization> 
<allow users="*" /> <!-- 允许所有用户 --> 

<!-- <allow users="[逗号分隔的用户列表]" 
roles="[逗号分隔的角色列表]"/> 
<deny users="[逗号分隔的用户列表]" 
roles="[逗号分隔的角色列表]"/> 
--> 
</authorization> 

<!-- 应用程序级别跟踪记录 
应用程序级别跟踪在应用程序内为每一页启用跟踪日志输出。 
设置 trace enabled="true" 以启用应用程序跟踪记录。如果 pageOutput="true"，则 
跟踪信息将显示在每一页的底部。否则，可以通过从 Web 应用程序 
根浏览 "trace.axd" 页来查看 
应用程序跟踪日志。 
--> 
<trace enabled="false" requestLimit="10" pageOutput="false" 
traceMode="SortByTime" localOnly="true" />    

<!-- 会话状态设置 
默认情况下，ASP.NET 使用 cookie 标识哪些请求属于特定的会话。 
如果 cookie 不可用，则可以通过将会话标识符添加到 URL 来跟踪会话。 
若要禁用 cookie，请设置 sessionState cookieless="true"。 
--> 
<sessionState 
mode="InProc" 
stateConnectionString="tcpip=127.0.0.1:42424" 
sqlConnectionString="data source=127.0.0.1;user id=sa;password=" 
cookieless="false" 
timeout="20" 
/> 

<!-- 全球化 
此节设置应用程序的全球化设置。 
--> 
<globalization requestEncoding="utf-8" responseEncoding="utf-8" /> 

</system.web> 

</configuration> 

<authentication mode="Forms"> 
<forms name="yourAuthCookie" loginUrl="login.aspx" 
protection="All" path="/" /> 
</authentication> 
<authorization> 
<deny users="?" /> 
</authorization> 

<location path="test.aspx"> 
<system.web> 
<authorization> 
<allow users="?" /> 
</authorization> 
</system.web> 
</location>