是否有关于在 IIS 上配置 ASP.NET 信任级别的指南

Question

我正在寻找来自 Microsoft 的最佳实践、受支持的指南或相同的博主/开发人员指南。或者两者兼而有之。

我正在设置一些用于托管的服务器，并且我想为它们配置足够的权限。我之前已经这样做过，我修改了Medium信任并授予它数据库权限等，但我只简单介绍了它。

我想使用人们使用的相应的通用权限来设置可靠的机器。是否有资源可以详细解释默认情况下每个信任级别的含义？这样我就可以比较并从那里开始。

为了启动安全性，我在我的计算机上制定了一条规则，即只为每个站点/用户创建专用应用程序池。我知道微软说每个网站实际上都是独立的，即使在共享应用程序池空间中也是如此，但我只是不相信它。

我也知道我不应该在完全信任模式下运行，因为我正在向各种攻击开放我的服务器。

我对此有一点了解，但还不够，所以希望你们能帮助我。我不想被灌输做什么，我没有问题弄清楚它，我只是找不到开始的信息。

我很感激你的帮助。

安东尼

我正在跑步： Windows 2008 RC2 64 位，带有 IIS7.5 以及 2.0/3.5 和 4.0 应用程序池的组合。

Answer 1

严格的最佳实践是“不要让任何事情对任何事情做任何事情”，但这通常会适得其反——如果您不接受 HTTP 请求，那么您就没有可用的 HTTP 应用程序服务器。

也就是说，你的问题非常笼统而且非常模糊。第一个关键问题是“这是什么样的托管场景？”例如，在专用场景中，甚至在应该相互信任的“友好”应用程序之间的共享服务器上，完全信任不一定是坏事。但在酒店服务员的情况下，随机客人共享空间的情况就很糟糕了。

第二个问题是您托管什么类型的应用程序？根据您所做的事情，您会得到完全不同的正面 - 垃圾邮件发送者不会像小偷那样努力。间谍们更加努力。