概要
Microsoft 安全公告 MS10-070 中介绍的安全更新对 ASP.NET 中的默认加密机制进行了更改,以执行加密以及验证(签名)。本文介绍了用于还原到 ASP.NET 中的原始加密行为的配置选项。
有关此安全更新的详细信息,请访问以下网站:http://www.microsoft.com/china/technet/security/bulletin/ms10-070.mspx
更多信息
ASP.NET 允许用户通过 MachineKey 部分中的配置来选择加密或验证数据。安全更新 MS10-070 所述的安全更新将更改 ASP.NET 中的默认加密行为,以执行加密以及验证操作(即使只请求进行加密)。
安装安全公告 MS10-070 中所述的安全更新之后,为 ASP.NET 设置加密时将执行以下操作:-
在数据加密过程中,会为加密的数据生成 HMAC 签名并且该签名会附加到加密数据。
-
在数据解密过程中,在解密数据之前验证 HMAC 签名。
ASP.NET 应用程序设置 (appSettings) 中的以下项除了控制加密之外,还控制签名行为。
项 |
类型 |
默认值 |
支持的 .NET 版本 |
---|---|---|---|
aspnet:UseLegacyEncryption |
布尔型 |
False |
Microsoft .NET Framework 2.0 Service Pack 1 Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4.0 |
aspnet:UseLegacyMachineKeyEncryption |
布尔型 |
False |
Microsoft .NET Framework 4.0 |
aspnet:ScriptResourceAllowNonJsFiles |
布尔型 |
False |
Microsoft .NET Framework 3.5 Service Pack 1 Microsoft .NET Framework 4.0 |
aspnet:UseLegacyEncryption appSetting 说明
此应用程序设置指定加密时是否还将使用 HMAC 密钥执行验证,即使 ASP.NET 配置的 machineKey 部分中的验证部分未配置为 HMAC 签名验证。
aspnet:UseLegacyEncryption |
说明 |
---|---|
False(默认) |
此设置将 ASP.NET 配置为:在 ASP.NET 配置为使用加密时还将执行 HMAC 签名验证。即使 machineKey 中的验证未配置为使用 HMAC 密钥进行签名,也会进行签名验证。 |
True |
此设置将 ASP.NET 配置为:在其被配置为使用加密时不执行 HMAC 签名验证,且不通过 machineKey 中的验证来进行 HMAC 签名。 注意此设置可能允许恶意客户端解密、伪造或篡改加密数据。 |
要配置此设置,请在您的计算机中或应用程序 web.config 文件中添加以下配置:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyEncryption" value="false" /> </appSettings> </configuration>
aspnet:UseLegacyMachineKeyEncryption appSetting 说明
此应用程序设置指定通过 System.Web.Security.MachineKey 类的加密是否还将使用 HMAC 密钥执行验证,即使提供的 MachineKeyProtection 参数未指定执行验证。
aspnet:UseLegacyMachineKeyEncryption |
说明 |
---|---|
False(默认) |
此设置将 ASP.NET 配置为:在 ASP.NET 配置为使用加密时,还将通过 MachineKey 类执行 HMAC 签名验证。即使提供的 MachineKeyProtection 参数未指定执行验证,也会进行签名验证。 |
True |
此设置将 ASP.NET 配置为:在其被配置为使用加密时不通过 MachineKey 类来执行 HMAC 签名验证,且不通过提供的 MachineKeyProtection 参数进行 HMAC 签名。 注意此设置可能允许恶意客户端解密、伪造或篡改加密数据。 |
要配置此设置,请在您的计算机中或应用程序 web.config 文件中添加以下配置:
<configuration> ... <appSettings> ... <add key="aspnet:UseLegacyMachineKeyEncryption" value="false" /> </appSettings> </configuration>
aspnet:ScriptResourceAllowNonJsFiles appSetting 说明
此应用程序设置指定 ASP.NET 中的 ScriptResource.axd 处理程序是否将用于非 JavaScript 文件 (.js extension)。ScriptResource.axd 是一种 ASP.NET 处理程序,用于将 JavaScript 源文件返回到 ASP.NET 网页中的 AJAX 组件。
aspnet:ScriptResourceAllowNonJsFiles |
说明 |
---|---|
False(默认) |
此设置将 ASP.NET 配置为:通过 ScriptResource.axd 处理程序仅为具有 .js 扩展名 (JavaScript) 的静态文件提供服务。 |
True |
此设置将 ASP.NET 配置为:通过 ScriptResource.axd 处理程序为 ASP.NET 应用程序具有访问权限的任何静态文件服务。 注意此设置允许通过处理程序为您的 ASP.NET 应用程序中的任何文件服务。如果任何此类文件包含敏感或机密数据,则此设置可能会向客户端泄漏敏感信息。 |
要配置此设置,请在您的计算机中或应用程序 web.config 文件中添加以下配置:
<configuration> ... <appSettings> ... <add key="aspnet:ScriptResourceAllowNonJsFiles" value="false" /> </appSettings> </configuration>
参考
有关 MachineKey 部分的详细信息,请访问以下 Microsoft 网站:
http://msdn.microsoft.com/zh-cn/library/w8h3skw9.aspx有关 System.Web.Security.MachineKey 类的详细信息,请访问以下 Microsoft 网站:
http://msdn.microsoft.com/zh-cn/library/system.web.security.machinekey.aspx有关如何使用应用程序设置 (appSettings) 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815786 如何使用 Visual C# 从应用程序配置文件中存储和检索自定义信息313405 如何使用 Visual Basic .NET 或 Visual Basic 2005 从应用程序配置文件中存储和检索自定义信息 有关 ASP.NET 配置的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307626 信息:ASP.NET 配置概述