我正在考慮爲ASP.NET應用創建一個診斷頁面,這個頁面主要供管理員使用,以獲取有關診斷問題的應用程序的更多信息。該信息的ASP.NET診斷的安全頁面
例子的頁面可能有:
- System.Environment.MachineName(可能在Web場情況下非常有用)
- System.Environment.Version
- Environment.UserName
- 數據庫名稱
- 當前用戶會話ID
從安全角度來看,此頁面上的部分信息可能會很敏感。 如果您之前已經完成了這種頁面,您對此頁面的訪問權限是什麼樣的? 。
編輯:
我要補充 - 雖然偶爾登錄的一個特定的(即真實)的最終用戶,可能是有用的,看到這個頁面。例如說一個問題只有在以特定用戶身份登錄時才能被複制。能夠看到該用戶的診斷頁面可能很有用。例如知道當前的會話ID可能對調試有幫助。
編輯2:
我開始認爲這個診斷頁面其實應該是兩個不同的網頁。一個顯示所有用戶相同的東西(例如數據庫名稱,CLR版本),另一個顯示會因會話而異的東西(例如瀏覽器信息,會話ID)。 然後,您可以鎖定第一頁的安全性。