针对软件测试开发技术 .NET 框架的安全编码指南 .NET 开发技术
关键字:.NET 基于证据的安全性和代码访问安全性
结合使用两项单独的技术来保护托管代码:
•基于证据的安全性决定将什么权限授予代码。
•代码访问安全性负责检查堆栈上的所有代码是否拥有执行某项操作的所需权限。
权限将这两个技术绑定在一起:权限是执行某个特定受保护操作的权利。例如,“读取 c:\temp”是一个文件权限;“连接到 www.msn.com”是一个网络权限。
基于证据的安全性决定授予代码的权限。证据是有关用作安全策略机制输入的任何程序集(授予权限的单位)的已知信息。假如将证据作为输入,系统将评估由管理员设置的安全策略,以决定可以将什么权限授予代码。代码本身可以使用权限请求来影响被授予的权限。权限请求被表示为使用自定义属性语法的程序集级别的声明性安全性。但是,代码不能以任何方式获取多于或少于策略系统所允许的权限。权限授予只发生一次,指定程序集中所有代码的权利。要查看或编辑安全策略,请使用 .NET 框架配置工具 (Mscorcfg.msc)。
下表列出了策略系统用来向代码授予权限的某些常见证据类型。除了这里列出的标准证据类型(它们是由安全系统提供的)以外,还可以使用用户定义的新类型来扩展证据集合。
证据说明哈希值
程序集的哈希值
出版商
AuthentiCode(R) 签名者
强名称
公钥+名称+版本
站点
代码来源的 Web 站点
Url
代码来源的 URL
区域
代码来源的 Internet Explorer 区域
文章来源于领测软件测试网 https://www.ltesting.net/