- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在研究Web应用程序的安全性,并想知道是否使用此功能:
<machineKey validationKey="AutoGenerate,IsolateApps"
compatibilityMode="Framework45" decryptionKey="AutoGenerate,IsolateApps"
validation="SHA1"/>
<machineKey compatibilityMode="Framework45"
validationKey="37BAD4B702C65CF39B1ED514AC4B3D88990DDF784AA0895659
B528ED95F8CA0A9CD1AF5ED92A2599362684CB8D204AC30D07E6BF0CF65194A5129"
decryptionKey="B450FB3271C49E6BA89A0C5C8D06B61875BCE4916A40474ED"
validation="SHA1" decryption="AES" />
最佳答案
AutoGenerate
意味着您的 key 会自动生成一次,然后(由本地安全机构服务)存储(换句话说,它不会在请求之间更改)-实际上,它永远不应在同一台计算机上更改。IsolateApps
意味着每个应用程序(ETA:大多数情况下,请参见下文)都具有自己的验证/解密 key -而不是计算机上的所有共享单个 key 的应用程序。但是仍然会生成 key ,并在第一次需要它时将其存储,并将其用于所有后续请求。
2017年更新:ASP.NET 4.5添加了IsolateByAppId
,与IsolateApps
相比,它添加了进一步的隔离。 IsolateApps
基于每个应用程序的虚拟目录路径为其创建一个不同的 key 。这意味着,如果同一台服务器上的两个应用程序具有相同的虚拟路径(例如/
),仅通过托管在不同的端口或主机名上进行区分,即使启用了IsolateApps
,它们仍将获得相同的 key 。 IsolateByAppId
将基于应用程序的AppDomainAppID
创建不同的 key 。 (更新结束)
但是,如果您的应用程序托管在Web场,云,群集等中-可能由不同的机器处理请求,则所有这些机器的 key 都必须相同-因此第二个示例中的预生成 key 。请记住,您需要自己生成(并正确生成)它们,而不是重用别人的。
Here's an easy way to generate the keys with IIS 7
ETA:为避免链接腐烂,下面是上面链接的摘要:IIS 7和更高版本在IIS管理器UI中包括了机器 key 生成:在网站的Machine Key
下(位于ASP.NET部分),您会找到操作面板中的Generate Keys
操作。这使用RNGCryptoServiceProvider为您生成解密和验证 key 。
(从前,很显然SQLMembershipProvider
会提示自动生成的 key -但这仅仅是为了避免如果应用程序最终不托管在单个服务器上,则可以避免上述问题)。
如果上述情况不适用于您,Microsoft建议使用默认值-即:
AutoGenerate,IsolateApps
IsolateApps
会将dncryption key 的熵减少32位(从192位减少到160位),因为该 key 的32位将是您的虚拟目录的哈希,攻击者已知该哈希(例如,如果您的应用程序位于域的根,这32位将是
4e ba 98 b2
。
IsolateByAppId
将其进一步减少了32位,达到128位。
关于asp.net-mvc-4 - 哪个machineKey配置更好?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18388076/
据我所知,根本不为元素呈现 HTML,或添加 display:none,似乎具有完全相同的行为:两者都使元素消失并且不与 HTML 交互。 我正在尝试禁用和隐藏一个复选框。所以HTML的总量很小;我无
我刚刚读了Android Architecture Tutorial: Developing an App with a Background Service (using IPC) .基本上是 让服
我有两个查询具有相同的结果,现在我想知道哪个查询更优化? 在选择中: select t1.*, sum(t2.value) as total_votes from table1 t1 left joi
有人告诉我,对于 I/O 绑定(bind)的应用程序,非阻塞 I/O 会更好。对于 CPU 密集型应用程序,阻塞 I/O 会好得多。我找不到这种说法的原因。试过谷歌,但很少有文章只是触及这个话题而没有
我有一个算法可以在数字列表中寻找好的对。一个好的配对被认为是索引 i 小于 j 且 arr[i] 1: # Finding the mid of the array
我有一个算法可以在数字列表中寻找好的对。一个好的配对被认为是索引 i 小于 j 且 arr[i] 1: # Finding the mid of the array
我从 API 收到一个 json,我需要解析并修改一个属性值。问题是,我收到的 json 数据的嵌套结构不一致,我无法控制它。 这将禁止我指定在特定深度(如 parsedJson.children[0
我有 451 个城市的坐标。现在我想计算每个城市之间的距离,然后根据该距离对一些结果进行排序。现在我有两个选择: 我可以运行一个循环来计算每个可能的城市组合的距离并将它们存储到一个表中,这将产生大约
对于返回相同结果的不同查询,我有两个查询计划我想知道是否有人可以告诉我哪个“更好”,以及为什么。 SELECT * FROM bids order by (select ranking from us
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this qu
我有一个二维数组。我需要尽可能快地对其执行一些操作(函数每秒将被调用十几次,所以让它变得高效会很好)。 现在,假设我想获取元素 A[i][j],简单地使用 A[i][j] 在速度上有什么不同吗和 *(
在声明或使用字符串的代码中,我通常会看到开发人员这样声明它: string randomString = @"C:\Random\RandomFolder\ThisFile.xml"; 代替: str
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: Why don't CSS resets use '*' to cover all elements? 我正
如果我有一个包含许多重复项的 python 列表,并且我想遍历每个项目,而不是重复项,最好使用一个集合(如 set(mylist),或者找到另一种方法来创建没有重复的列表?我想只是循环遍历列表并检查重
在阅读常量接口(interface)反模式时,我发现没有实例的最终常量类比常量接口(interface)更好。 请解释一下怎么做? public interface ConstIfc { publ
我正在查看我继承的一些旧代码,我真的不喜欢某些地方的风格。我真的不喜欢它的外观的一件事是: bool func() { bool ret = true; ret &= test1();
关闭。这个问题是opinion-based 。目前不接受答案。 想要改进这个问题吗?更新问题,以便 editing this post 可以用事实和引文来回答它。 . 已关闭 4 年前。 Improv
我经常发现自己试图使用 boost/QT 信号解耦对象。实现这一点的简单方法是针对我要通信的每个具体类型,创建一个新的信号和插槽签名并连接所有相关对象。这导致了访问者模式,理想情况下我想发出一个访问者
我正在 https://docs.oracle.com/javase/tutorial/java/javaOO/lambdaexpressions.html 上阅读有关 lambda 的内容 在方法
public List getInts() { List xs = new ArrayList(); xs.add(1); // return Collections.unmo
我是一名优秀的程序员,十分优秀!