代码访问安全性使用

最新推荐文章于 2022-06-08 21:48:01 发布
最新推荐文章于 2022-06-08 21:48:01 发布
阅读量356 收藏
点赞数
文章标签: ASP.net Security ASP Web .net

在.Net Framework中提供了代码访问安全性(Code Access Security),它的主要作用就是限制代码的使用权限。可以控制各种系统资源的访问权限、可以要求代码的调用方拥有特定的权限......。比如我们可以控制自己的dll只能在什么条件下由什么人调用,特别是在Asp.net中可以限制不同代码的安全权限,从源头限制住网络上的攻击等。

本文的主要内容如下:

1、在Asp.Net中使用自定义的信任级别

2、配置Sqlconnection的代码访问权限

3、实现和使用一个最简版的自定义权限

在Asp.Net中使用自定义的信任级别

Asp.Net默认在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config中配置了网站的信任级别:
<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < securityPolicy >
< trustLevel name ="Full" policyFile ="internal" />
< trustLevel name ="High" policyFile ="web_hightrust.config" />
< trustLevel name ="Medium" policyFile ="web_mediumtrust.config" />
< trustLevel name ="Low" policyFile ="web_lowtrust.config" />
< trustLevel name ="Minimal" policyFile ="web_minimaltrust.config" />
</ securityPolicy >
< trust level ="Full" originUrl ="" />
默认为Full,表示拥有最大的权限,当然风险也就最高,我们可以在自己的网站下的web.config中自定义信任级别:
<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < securityPolicy >
< trustLevel name ="Custom" policyFile ="E:\_NetProject\PermissionTrust\WebSite11\web_customtrust.config" />
</ securityPolicy >
< trust level ="Custom" originUrl ="" />

这里使用了自定义的配置文件,其实也就是复制C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_lowtrust.config文件,然后在此文件上进行适当修改就可以了(使用此配置默认是不允许连接数据库的)

配置Sqlconnection的代码访问权限

配置的方法就是修改自定义的web_customtrust.config文件,修改后的文件如下所示:粗体部分为修改点

ContractedBlock.gif ExpandedBlockStart.gif web_customtrust.config
<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--><configuration>
<mscorlib>
<security>
<policy>
<PolicyLevelversion="1">
<SecurityClasses>
<SecurityClassName="AllMembershipCondition"Description="System.Security.Policy.AllMembershipCondition,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="AspNetHostingPermission"Description="System.Web.AspNetHostingPermission,System,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="FileIOPermission"Description="System.Security.Permissions.FileIOPermission,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="FirstMatchCodeGroup"Description="System.Security.Policy.FirstMatchCodeGroup,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="IsolatedStorageFilePermission"Description="System.Security.Permissions.IsolatedStorageFilePermission,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="NamedPermissionSet"Description="System.Security.NamedPermissionSet"/>
<SecurityClassName="SecurityPermission"Description="System.Security.Permissions.SecurityPermission,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="StrongNameMembershipCondition"Description="System.Security.Policy.StrongNameMembershipCondition,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="UnionCodeGroup"Description="System.Security.Policy.UnionCodeGroup,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="UrlMembershipCondition"Description="System.Security.Policy.UrlMembershipCondition,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="ZoneMembershipCondition"Description="System.Security.Policy.ZoneMembershipCondition,mscorlib,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
<SecurityClassName="SqlClientPermission"Description="System.Data.SqlClient.SqlClientPermission,System.Data,Version=2.0.0.0,Culture=neutral,PublicKeyToken=b77a5c561934e089"/>
</SecurityClasses>
<NamedPermissionSets>
<PermissionSet
class="NamedPermissionSet"
version="1"
Unrestricted="true"
Name="FullTrust"
Description="Allowsfullaccesstoallresources"
/>
<PermissionSet
class="NamedPermissionSet"
version="1"
Name="Nothing"
Description="Deniesallresources,includingtherighttoexecute"
/>
<PermissionSet
class="NamedPermissionSet"
version="1"
Name="ASP.Net">

<IPermission
class="AspNetHostingPermission"
version="1"
Level="High"
/>
<IPermission
class="FileIOPermission"
version="1"
Read="$AppDir$"
PathDiscovery="$AppDir$"
/>
<IPermission
class="IsolatedStorageFilePermission"
version="1"
Allowed="AssemblyIsolationByUser"
UserQuota="1048576"
/>
<IPermission
class="SecurityPermission"
version="1"
Flags="Execution"
/>
<IPermissionclass="SqlClientPermission"version="1">
<addConnectionString="datasource=dbserver;initialcatalog=db1"
KeyRestrictions="UserID=;Password=;ConnectionReset="
KeyRestrictionBehavior="AllowOnly"/>
</IPermission>
</NamedPermissionSets>
<CodeGroup
class="FirstMatchCodeGroup"
version="1"
PermissionSetName="Nothing">
<IMembershipCondition
class="AllMembershipCondition"
version="1"
/>
<CodeGroup
class="UnionCodeGroup"
version="1"
PermissionSetName="ASP.Net">
<IMembershipCondition
class="UrlMembershipCondition"
version="1"
Url="$AppDirUrl$/*"
/>
</CodeGroup>
<CodeGroup
class="UnionCodeGroup"
version="1"
PermissionSetName="ASP.Net">
<IMembershipCondition
class="UrlMembershipCondition"
version="1"
Url="$CodeGen$/*"
/>
</CodeGroup>
<CodeGroupclass="UnionCodeGroup"version="1"PermissionSetName="Nothing">
<IMembershipCondition
class="ZoneMembershipCondition"
version="1"
Zone="MyComputer"/>
<CodeGroup
class="UnionCodeGroup"
version="1"
PermissionSetName="FullTrust"
Name="Microsoft_Strong_Name"
Description="ThiscodegroupgrantscodesignedwiththeMicrosoftstrongnamefulltrust.">
<IMembershipCondition
class="StrongNameMembershipCondition"
version="1"
PublicKeyBlob="002400000480000094000000060200000024000052534131000400000100010007D1FA57C4AED9F0A32E84AA0FAEFD0DE9E8FD6AEC8F87FB03766C834C99921EB23BE79AD9D5DCC1DD9AD236132102900B723CF980957FC4E177108FC607774F29E8320E92EA05ECE4E821C0A5EFE8F1645C4C0C93C1AB99285D622CAA652C1DFAD63D745D6F2DE5F17E5EAF0FC4963D261C8A12436518206DC093344D5AD293"
/>
</CodeGroup>
<CodeGroup
class="UnionCodeGroup"
version="1"
PermissionSetName="FullTrust"
Name="Ecma_Strong_Name"
Description="ThiscodegroupgrantscodesignedwiththeECMAstrongnamefulltrust.">
<IMembershipCondition
class="StrongNameMembershipCondition"
version="1"
PublicKeyBlob="00000000000000000400000000000000"
/>
</CodeGroup>
</CodeGroup>
</CodeGroup>
</PolicyLevel>
</policy>
</security>
</mscorlib>
</configuration>

加入以上的配置后限制使用SqlConnection时只能访问dbserver上的db1数据库,不能访问其他数据库,用户名密码等可以自由输入,也就是在代码中只能:

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> SqlConnectionconnection = new SqlConnection( " datasource=dbserver;UserID=gspring;Password=***;initialcatalog=db1 " )

如果连接其他数据库就会报错:

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> 说明:应用程序试图执行安全策略不允许的操作。要授予此应用程序所需的权限,请与系统管理员联系,或在配置文件中更改该应用程序的信任级别。
异常详细信息:System.Security.SecurityException:请求“System.Data.SqlClient.SqlClientPermission,System.Data,Version = 2.0 . 0.0 ,Culture = neutral,PublicKeyToken = b77a5c561934e089”类型的权限已失败。

这样就从源头上限制住了数据库的连接操作。

当然如果希望可以连接任意数据库,可以修改为如下配置:

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> < IPermission class ="SqlClientPermission" version ="1" Unrestricted ="true" />

实现和使用一个最简版的自定义权限

自定义一个代码访问权限需要从CodeAccessPermission继承,并且要实现IUnrestrictedPermission接口,主要需实现的方法有:

Copy 创建当前权限对象的副本。
Intersect 返回当前类与传递的类所允许权限的交集。
IsSubsetOf 如果传递的权限包括当前权限允许的一切操作,则 IsSubsetOf 返回 true。
FromXml 对您的自定义权限的 XML 表示形式进行解码。
ToXml 对您的自定义权限的 XML 表示形式进行编码。
Union 创建一个权限,该权限是当前权限与指定权限的并集。

<!--<br /><br />Code highlighting produced by Actipro CodeHighlighter (freeware)<br />http://www.CodeHighlighter.com/<br /><br />--> 1 using System;
 2 using System.Text;
 3 using System.Security;
 4 using System.Security.Permissions;
 5
6 namespace MyPermission
 7 ExpandedBlockStart.gifContractedBlock.gif {
8[Serializable]
9publicsealedclassCustomPermission:CodeAccessPermission,IUnrestrictedPermission
10ExpandedSubBlockStart.gifContractedSubBlock.gif{
11privateDateTime_expiredDate;
12
13publicDateTimeExpiredDate
14ExpandedSubBlockStart.gifContractedSubBlock.gif{
15ExpandedSubBlockStart.gifContractedSubBlock.gifget{return_expiredDate;}
16ExpandedSubBlockStart.gifContractedSubBlock.gifset{_expiredDate=value;}
17}
18
19publicCustomPermission()
20ExpandedSubBlockStart.gifContractedSubBlock.gif{
21}
22
23//必须有这个方法,CAS系统会调用此方法的
24publicCustomPermission(PermissionStatestate)
25ExpandedSubBlockStart.gifContractedSubBlock.gif{
26}
27
28publicboolIsUnrestricted()
29ExpandedSubBlockStart.gifContractedSubBlock.gif{
30returnfalse;
31}
32
33publicoverrideIPermissionCopy()
34ExpandedSubBlockStart.gifContractedSubBlock.gif{
35CustomPermissioncopy=newCustomPermission();
36copy.ExpiredDate=this.ExpiredDate;
37
38returncopy;
39}
40
41publicoverrideIPermissionIntersect(IPermissiontarget)
42ExpandedSubBlockStart.gifContractedSubBlock.gif{
43if(null==target)
44ExpandedSubBlockStart.gifContractedSubBlock.gif{
45returnnull;
46}
47else
48ExpandedSubBlockStart.gifContractedSubBlock.gif{
49returntarget;
50}
51}
52
53privateboolCheckDate(DateTimedate)
54ExpandedSubBlockStart.gifContractedSubBlock.gif{
55if(System.DateTime.Now.CompareTo(date)<0
lionvsme
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码安全性检测支持库
07-24
"易代码安全性检测支持库"是一个专为开发者和IT专业人士设计的工具,旨在提升软件代码安全性。这个库包含了各种功能和算法,用于检测代码中的潜在安全漏洞,防止恶意攻击和数据泄露。在开发过程中,代码安全性是...
c代码-安全访问算法实现
07-16
总之,实现安全访问算法是C编程中的重要任务,它需要对内存管理、错误处理和安全性有深入的理解。通过采用良好的编程实践,编写防御性代码,并结合适当的工具进行静态和动态分析,可以在很大程度上提高C程序的安全性...
C#强化系列文章九:代码访问安全性使用
weixin_34007886的博客
07-24 221
.Net Framework中提供了代码访问安全性(Code Access Security),它的主要作用就是限制代码使用权限。可以控制各种系统资源的访问权限、可以要求代码的调用方拥有特定的权限......。比如我们可以控制自己的dll只能在什么条件下由什么人调用,特别是在Asp.net中可以限制不同代码的安全权限,从源头限制住网络上的攻击等。 本文的主要内容如下: 1、在Asp.Net...
您的 Java 代码安全吗?
Herr Apfel的专栏
06-10 1349
  虽然客户仍然很关心您为他们构建的应用程序的可伸缩性和可用性,但他们可能变得也很关心安全性,而且要求特别严格。应用程序可能容易受到两类安全性威胁的攻击:静态和动态。虽然开发人员不能完全控制动态威胁,但在开发应用程序时,您可以采取一些预防措施来消除静态威胁。本文概括并解释了 13 种类型的静态暴露 ― 它们是系统中的缺陷,它使系统暴露在想要篡夺该系统的特权的攻击者面前。您将学会如何处理这些暴露,以
CAS 代码访问安全性 (翻译)
eteran的专栏
10-27 189
前言: 用vs2005 + vsto 开发一个outlook的addin的时候,碰到了一个问题,在我机器上运行的好好的程序,用vs自己的打包安装程序安装到别的机器的时候总是显示 not load, 加载程序的时候出错。google了一下,遇到了一个新名词, CAS: code access security. 找不到相关的中文文档。在codeproject上看到了这篇文章。文章比较长,有codep...
代码访问安全(code-access security
weixin_33989780的博客
08-01 349
  .NET 安全性 (security) 提供了两种安全模型,一个是code-access security (简称 CAS) ,另外一个是role-based security,前者是用来控制程序的行为,后者是用来控制使用者的行为。而本文讲的是CAS。 CAS让开发者和管理员可以实现对代码有权访问的那些资源进行精确的控制,它也被称为evidence-based security。 1....
ASP.NET 代码访问安全性
weixin_34059951的博客
01-11 171
        使用 ASP.NET 来承载多个 Web 站点的一个主要优点是:公共语言运行库支持代码访问安全,可帮助保护服务器应用程序的安全。根据关于代码来源的证据(例如带有强名称的程序集或源的 URL 等证据),代码被分配到安全区域分类中。如果不能为安装在公共服务器上的各个互不相关的应用程序配置安全机制,那么 ASP.NET 页中属于一个应用程序的代码将能够读取另一个应用程序中的文件(例如 W...
Java安全性编程指南源代码
12-18
本资源“Java安全性编程指南源代码”提供了一套详细的实现,包括了流行的加密算法RSA,这对于开发者来说是一份宝贵的参考资料。接下来,我们将深入探讨Java安全编程的关键知识点以及RSA加密算法。 首先,Java安全...
代码访问安全性
cykjliqian的专栏
04-25 1119
.NET 技术FAQ(七)-----代码访问安全性
小毛头的BLOG
09-08 1274
7. 代码访问安全性7.1 什么是代码访问安全性 (CAS)?CAS 是 .NET 安全性模型的一部分,它确定一段代码是否允许被运行,以及当它运行是可以使用什么资源。例如,CAS 可以防止一个 .NETWeb applet 将你的硬盘格式化。  7.2 CAS 如何起作用?CAS 安全策略设计两个关键概念—代码组和权限。每个 .NET 元件是特定 代码组的成员,并且每个代码组被授予由有名权限
.NET安全系列之一:代码访问安全(CAS)
pp_zz的专栏
05-24 1350
http://www.cnblogs.com/lsxqw2004/archive/2009/01/20/1378665.html从这篇文章起总结一下.NET平台中安全相关问题,将分4篇文章介绍,目录如下: .NET安全系列之一:代码访问安全(CAS)     这一部分重点介绍CAS,CAS技术允许我们通过验证源代码的方式衡量一个程序集的受信任程度,并确保其没有被篡改。 .NET安全系列之二:独立存储区相关知识 .NET安全系列之三:Windows与.NET中用户及角色与资源访问控制     这一部分讨论如何
你的代码安全吗?
wildcatbb的专栏
07-31 1780
你的代码安全吗?(青苹果工作室 2001年06月13日 01:10)在VS.NET环境里使用Microsoft 中间语言为开发者创造了极大的优越性,但是却将VB.NET暴露在了桌面上。在Visual Studio.NET 框架中,象 VB、Visual C++和C# 那样的编译器将源程序编译成Microsoft 中间语言 (MSIL),在执行之前这种中间语言被JIT(Just-In-Tim
高质量代码安全性
东北砍王的栖息地
03-31 531
本文借鉴《编写高质量的C#代码:改善C#程序的157个建议》,算是对自己学习的总结,也希望分享下所学知识~~ 什么是安全性安全性是软件开发中很重要的一环。 包括:数据安全和代码安全。 1.变量最大值 程序员都会犯的错就是变量超出了最大值。 可以使用 check 关键字,在运算溢出的时候会抛出异常 OverflowException。 ushort value = 65534; checked { value++; } 2.MD5不再安全 虽然 MD5 是不可逆的。 但是可以通过穷举法进行暴力
代码管理安全性
jacksinrow的博客
03-07 421
实际做项目的过程中会遇到各种各样的困难和阻扰,每次都是一种新的体验。以前老听说代码管理的安全性,某某某公司代码泄漏然后把程序员告到法庭等等例子,当真实在自己身边发生时,来的是那么突然。 某天下午突然之间在研发群中的一条消息,被淹没在刷屏的聊天中,没有几个人注意到。但很快就有领导打电话过来询问,责令进行处理。某方的安全信息部门检测到 GitHub 上有泄漏他们公司的相关链接和项目中的一些敏感信息,经...
.NET代码安全性(源代码工具真正比拼) (論)(3)
.NET相关产品
04-14 3491
上面我们展现了反编译技术对混淆过后代码的比较,我们清楚的看到了三个工具的强大性.从C#的反编译结果上来说,无疑MaxtoCode是最优秀的,它已经完全的杜绝你的源代码外泄. 但C#只是一种高级语言,我们希望更底层一点,希望读到更深层的代码MSIL,那么,现在让我们来用各种工具取得它的MSIL代码吧. 源文件的MSIL代码如下:.method private instance string Encr
代码安全性的基本原则[转载]
weixin_30765475的博客
05-29 132
代码安全性的基本原则 原文:http://www.2cto.com/kf/201305/207685.html 基本点:1>指针 使用之前判定是否为空; 删除时注意是否应自己删除,且删除需置空; 2>数组 使用下列操作时需做容器个数检查:front(),back(); 使用下列操作时需做数据越界检查: at(i),[i]<建议不要使用下标操...
如何提高自己代码安全性
深耕安全技术研究
03-20 1066
编码安全技巧: 请点击链接.
C#学习之路-安全性认识
人如飘絮花亦伤
08-08 1599
安全性的两个基本支柱是身份验证和授权。身份验证是标识用户的过程,授权是在验证了所标识用户是否可以访问特定资源之后进行的。 使用标识可以验证运行应用程序的用户。 principal是一个包含用户的标识和用户的所属角色的对象。IPrincipal接口定义了Identity属性和IsInRole()方法。Identity属性返回IIdentity对象;在IsInRole()方法中,可以验证用户是否制
如何提升代码安全性 —— 代码防御性编程的十条技巧
ZP1015
06-08 2205
顾名思义,防御性编程是一种细致、谨慎的编程方法。为了开发可靠的软件,我们要设计系统中的每个组件,以使其尽可能的”保护”自己。我们通过明确地在代码中对设想进行检查,这是一种努力,防止我们的代码以将会展现错误行为的方式被调用。防御性编程使我们可以尽早的发现较小的问题,而不是等到它们发展成大的灾难的时候才发现。其开发软件的过程是: 下面总结了一些防御性编程的反对和支持者的意见:采用良好的编码风格,来防范大多数编码错误。如:const关键字: 关键字const可以给读你代码的人传达非常有用的信息。例如,在函数的形参
代码来保护程序的安全性
最新发布
09-05
### 回答1: 为了保护程序的安全性,可以采取以下措施: ...总之,编写安全性良好的代码需要从输入验证、数据加密、异常处理、权限控制和代码审查等多个方面进行综合考虑,并采取相应的措施来保护程序的安全性
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值