gpt4 book ai didi

asp.net - 发布选项

转载 作者:行者123 更新时间:2023-12-02 21:22:30 24 4
gpt4 key购买 nike

问:

我想询问在 Web 应用程序发布过程中在我的服务器上发布 .cs.aspx 文件是否被视为不好的做法,并可能导致安全违规或不是吗?

因为有时我必须这样做,因为报告文件未发布或 css 文件无法正常工作。

<小时/>

何时使用其中每个选项:

  • 仅运行此应用程序所需的文件。

  • 所有项目文件。

  • 源项目文件夹中的所有文件

最佳答案

这可能是原理的误用,但我一直想到principle of least privilege 。我的意思是:

  • 我的用户是否需要查看任何代码文件(适用于“所有项目文件”和“源项目文件夹中的所有文件”?
  • 我的用户是否需要查看我的项目文件夹中但未包含在我的项目中的任何文件(适用于“源项目文件夹中的所有文件”)?

如果这些问题的答案是否定的,那么我仅使用运行此应用程序所需的文件进行发布。

我曾经犯过使用“源项目文件夹中的所有文件”发布网站的错误,因为我需要从我使用的插件中部署一堆 .css 和 .js 文件,但我不知道如何快速将这些文件包含在我的网络项目中。

但是,当我看到所有源代码都显示在生产文件夹中时,我很快将发布选项切换回“仅运行此应用程序所需的文件”,并部署删除目标文件夹中的所有文件。然后,我四处寻找一种方法,将所有文件包含在不在我的项目中的文件夹中,从那以后我就更开心了。

老实说,即使我的用户需要查看某种代码,我也会考虑编写 quine在我在任何网站上发布 .cs 文件的副本之前。人们对互联网安全有不同的看法,但我经常想起吉恩·斯帕福德的这句话:

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards - and even then I have my doubts.

如果您环顾四周,您会发现各种问题,其中用户试图安全地加密/解密连接字符串,将数据安全地存储在他们的程序(或数据库)中,或者尽力保留任何人 - 甚至他们最信任的用户 - 获得他们原本不应该拥有的访问权限。

尽管恶意用户不太可能尝试访问您服务器上的文件,但我可以告诉您,恶意用户访问我服务器上的文件要困难得多,因为这些文件我的服务器上不存在

关于asp.net - 发布选项,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7793840/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com