从安全的角度来看,我对网络配置布局存在争议。
我们的app.config包含一个密钥,该密钥引用包含安全设置的两个文件(数据库名称,密码,AD根目录,用于进行身份验证的有效用户和密码等)。这两个文件位于Web根目录和纯文本之外。不知怎的,我觉得这显然是错的。这就是web.config的用途,用于保存配置,并且由于它可以加密,并且IIS永远不会提供.config文件,因此它应该足够安全。
这真的是一种不好的做法吗?谁能指出我正确的方向? 提前谢谢。
答案 0 :(得分:0)
最佳做法是在web.config文件中保留所有安全设置,并在后面的代码中访问它们。此外,您还可以在web.config中加密和转换配置安全设置。