我最近加入了一家公司,在分析他们的环境时,我注意到 SharePoint web.config 的信任级别设置为“完全”。我知道这绝对是一个糟糕的做法,并且希望 stackoverflow 社区能够帮助我概述这个决定中的缺陷。
哦,看来这个决定是为了允许开发人员将 dll 部署到 Bin 文件夹而无需创建 CAS 策略。叹息。
只是想澄清一下,但让事情变得更糟的是,我们还将第三方代码部署到此 Web 应用程序。
最佳答案
托德,
Dino Espisito 所著的《Programming Microsoft ASP.Net 3.5》一书提供了一些关于不允许在 ASP.Net 应用程序中完全信任的合理推理。
Dino 指出,除其他原因外,暴露在互联网上的 Web 应用程序是“你能想象到的对计算机安全最不利的环境之一”。并且:
a publicly exposed fully trusted application is a potential platform for hackers to launch attacks. The less an application is trusted, the more secure that application happens to be.
我很惊讶 StackOverflow 社区没有更好地概述完全信任的问题。我也希望得到同样的结果,所以我不必去翻遍我的书堆来寻找答案,懒惰的我。
关于ASP.NET - 信任级别 = 完全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/461650/