1.3 配置ASP.NET3.5應用程序

在ASP.NET應用程序中，可以在系統(tǒng)提供的配置文件Web.config中對該應用程序進行配置，可以配置的信息包括錯誤信息顯示方式、會話存儲方式和安全設(shè)置等。Web.config文件是一個XML文本文件，它用來儲存ASP.NET Web應用程序的配置信息（如最常用的設(shè)置ASP.NET Web應用程序的身份驗證方式），它可以出現(xiàn)在應用程序的每一個目錄中。當讀者通過C#.NET新建一個Web應用程序后，默認情況下會在根目錄自動創(chuàng)建一個默認的Web.config文件，包括默認的配置設(shè)置，所有的子目錄都繼承它的配置設(shè)置。如果讀者想修改子目錄的配置設(shè)置，讀者可以在該子目錄下新建一個Web.config文件。它可以提供除從父目錄繼承的配置信息以外的配置信息，也可以重寫或修改父目錄中定義的設(shè)置。在運行時對Web.config文件的修改不需要重啟服務就可以生效（注：<processModel>節(jié)例外）。當然Web.config文件是可以擴展的。讀者可以自定義新配置參數(shù)并編寫配置節(jié)處理程序以對它們進行處理。Web.config配置文件的所有代碼都應該位于<configuration><system.web>和</system.web></configuration>之間。下面介紹一下常用的配置。

（1） <authentication>節(jié)。

<authentication>節(jié)通常用來配置ASP.NET身份驗證支持（為Windows、Forms、PassPort、None四種）。該元素只能在計算機、站點或應用程序級別聲明。<authentication>元素必需與<authorization>節(jié)配合使用。

例如基于窗體的身份驗證站點的配置，代碼如下：

第1行和第3行代碼定義<authentication>節(jié)，把Mode屬性設(shè)置為Forms表示這個站點將執(zhí)行基于窗體的身份驗證，第2行代碼定義當沒有登錄身份的用戶訪問頁面時自動跳轉(zhuǎn)到的頁面，其中其中元素loginUrl表示登錄網(wǎng)頁的名稱，name表示Cookie名稱。

          1:<authentication mode="Forms" >
          2:       <forms loginUrl="logon.aspx"name=".FormsAuthCookie"/>
          3:</authentication>

（2） <authorization>節(jié)。

<authorization>節(jié)通常用來控制對URL資源的客戶端訪問（如允許匿名讀者訪問）。此元素可以在任何級別（計算機、站點、應用程序、子目錄或頁）上聲明。必需與<authentication>節(jié)配合使用。讀者可以使用user.identity.name來獲取已經(jīng)過驗證的當前的讀者名；可以使用web.Security.FormsAuthentication.RedirectFromLoginPage方法將已驗證的讀者重定向到讀者剛才請求的頁面。

例如禁止匿名用戶訪問的站點的配置，代碼如下：

第1行和第3行代碼定義<authorization>節(jié)，第2行通過設(shè)置<deny users="? "/>來實現(xiàn)任何來訪的用戶都需要身份認證的。

          1:<authorization>
          2:<deny users="? "/>
          3:</authorization>

（3） <compilation>節(jié)。

<compilation>節(jié)通常用來配置ASP.NET使用的所有編譯設(shè)置。默認的debug屬性為“True”。在程序編譯完成交付使用之后應將其設(shè)為True。

（4） <customErrors>節(jié)。

<customErrors>節(jié)通常用來為ASP.NET應用程序提供有關(guān)自定義錯誤信息的信息。它不適用于XML Web services中發(fā)生的錯誤。

例如當發(fā)生錯誤時，將網(wǎng)頁跳轉(zhuǎn)到自定義的錯誤頁面的配置，代碼如下：

第1行和第2行代碼定義<customErrors>節(jié)，并通過屬性defaultRedirect來定義發(fā)生錯誤時條轉(zhuǎn)的頁面是ErrorPage.aspx。

          1:<customErrors defaultRedirect="ErrorPage.aspx" mode="RemoteOnly">
          2:</customErrors>

（5） <httpRuntime>節(jié)。

<httpRuntime>節(jié)通常用來配置ASP.NET HTTP運行庫設(shè)置。該節(jié)可以在計算機、站點、應用程序和子目錄級別聲明。

例如ASP.NET HTTP運行庫設(shè)置，代碼如下：

這段代碼的含義是控制讀者上傳文件最大為4MB，最長時間為60秒，最多請求數(shù)為100

          1:<httpRuntime maxRequestLength="4096" executionTimeout="60" appRequestQueueLimit="100"/>

（6） <pages>節(jié)。

<page>節(jié)通常用來標識特定于頁的配置設(shè)置（如是否啟用會話狀態(tài)、視圖狀態(tài)，是否檢測讀者的輸入等）。<pages>可以在計算機、站點、應用程序和子目錄級別聲明。下面來看一個例子：

例如：不檢測讀者在瀏覽器輸入的內(nèi)容中是否存在潛在的危險數(shù)據(jù)（注：該項默認是檢測，如果讀者使用了不檢測，一定要對讀者的輸入進行編碼或驗證），在從客戶端回發(fā)頁時將檢查加密的視圖狀態(tài)，以驗證視圖狀態(tài)是否已在客戶端被篡改。

          1:<pages buffer="true" enableViewStateMac="true" validateRequest="false"/>

（7） <sessionState>節(jié)。

<sessionState>節(jié)通常用來為當前應用程序配置會話狀態(tài)設(shè)置（如設(shè)置是否啟用會話狀態(tài)，會話狀態(tài)保存位置）。

例如設(shè)置會話狀態(tài)，代碼如下：

第1行和第2行代碼用來設(shè)置會話狀態(tài)的，其中mode="InProc"表示：在本地儲存會話狀態(tài)（讀者也可以選擇儲存在遠程服務器或SAL服務器中或不啟用會話狀態(tài)）cookieless="true"表示：如果讀者瀏覽器不支持Cookie時啟用會話狀態(tài)（默認為False）timeout="20"表示：會話可以處于空閑狀態(tài)的分鐘數(shù)。

          1:<sessionState mode="InProc" cookieless="true" timeout="20"/>
          2:</sessionState>

（8） <trace>節(jié)。

<trace>節(jié)通常用來配置ASP.NET跟蹤服務，主要用來測試程序判斷哪里出錯。

例如Web.config中的對跟蹤服務的默認配置，代碼如下：

這行代碼用來設(shè)置跟蹤服務的，其中enabled="false"表示不啟用跟蹤；requestLimit="10"表示指定在服務器上存儲的跟蹤請求的數(shù)目；pageOutput="false"表示只能通過跟蹤實用工具訪問跟蹤輸出；traceMode="SortByTime"表示以處理跟蹤的順序來顯示跟蹤信息；localOnly="true" 表示跟蹤查看器（trace.axd）只用于宿主Web服務器。

          1:<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" />