我仍在尝试 asp.net 概念。我在我们公司的服务器上(用 C#)写了一个相当简单的电子商务网站,没有详细说明,它只创建了一封关于买家想要订购的商品的电子邮件,然后发送到我们的订单处理部门。因为电子邮件还包含买家的信用卡信息,所以该页面是 SSL。
我已经编写了一部分代码来在文本文件中记录某些事件,它在开发中运行良好,但是当部署到 SSL 页面时,页面崩溃,因为对文本文件的访问被拒绝。
我们的 IT 经理告诉我,这会为我们的网站造成漏洞,这是我不理解的事情,但我接受,因为他对这类事情的了解比我多得多。
我的问题是,有没有其他方法可以在不危及安全的情况下记录事件?
这不是本质的东西,所以可以省略,但我只是想更好地理解它,至少。
谢谢!
最佳答案
记录到 DB,如果 DB 写入 DB 失败,则记录到 EventViewer,运行 w3wp 进程的进程应该被授予 creds 来执行此操作。这不违反任何安全策略,应该为包含进程的所有者提供足够的日志权限。
但是,允许进程在其正常行为之外删除/创建文件系统对象可能会被视为违反安全策略。
关于c# - 带有 ssl 的 asp.net 表单 - 拒绝访问日志文件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22020333/