维护ASP应用程序的安全

使用 SSL 维护应用程序的安全

　　Secure Sockets Layer (SSL) 3.0 协议作为 Web 服务器安全特性，提供了一种安全的虚拟透明方式来建立与用户的加密通讯连接。SSL 保证了 Web 内容的验证，并能可靠地确认访问被限制的 Web 站点的用户的身份。


　　通过 SSL，您可以要求试图访问被限制的 ASP 应用程序的用户与您的服务器建立一个加密连接；以防用户与应用程序间交换的重要信息被截取。


维护包含文件的安全

　　如果您从位于没有保护的虚拟根目录中的 .asp 文件中包含了位于启用了 SSL 的目录中的文件，则 SSL 将不被应用于被包含文件。因此，为了保证应用 SSL，应确保包含及被包含的文件都位于启用了 SSL 的目录中。


客户资格认证

　　控制对您的 ASP 应用程序访问的一种十分安全的方法是要求用户使用 客户资格 登录。客户资格是包含用户身份信息的数字身份证，它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第三方组织获得客户资格，第三方组织在发放资格证之前确认用户的身份信息。（通常，这类组织要求姓名、地址、电话号码及所在组织名称；此类信息的详细程度随给予的身份等级而异。）


　　每当用户试图登录到需要资格验证的应用程序时，用户的 Web 浏览器会自动向服务器发送用户资格。如果 Web 服务器的 Secure Sockets Layer (SSL) 资格映射特性配置正确，那么服务器就可以在许可用户对 ASP 应用程序访问之前对其身份进行确认。


用于处理资格证明的 ASP 脚本

　　作为 ASP 应用程序开发人员，您可以编写脚本来检查资格是否存在并读取资格字段。例如，您可以从资格证明中访问用户名字段和公司名字段。Active Server Pages 在 Request 对象的 ClientCertificate 集合中保存资格信息。


　　必须将 Web 服务器配置为接受或需要客户资格，然后才能通过 ASP 处理客户资格；否则，ClientCertificate 集合将为空。