2.权限管理准备工作：你应该知道的ASP.NET网站最基本的安全措施!

一. ASP.NET 与  IIS 一起使用的身份验证方法来验证用户凭据（如用户名和密码）：

1.Windows：基本、摘要式或集成 Windows 身份验证（NTLM 或 Kerberos）。

2.Forms 身份验证，您可以通过该身份验证在您的应用程序中创建登录页并管理身份验证。

3.客户证书身份验证

 

二.ASP.NET网站最基本的安全措施：

1.经常进行数据；

2.将web服务器放置在安全位置，并且对文件进行权限控制；

3.使用windows NTFS文件系统

4.使用安全性较高的密码，最好不要将密码记录于本机电脑，时常更改密码。

5.确保IIS的安全。

6.关闭不使用的端口和服务，打开防火墙。

7.监视系统的事件日志，监视对系统的重复登录尝试或对 Web 服务器的过多请求。

8.使用 Microsoft Windows 和 Internet 信息服务 (IIS) 的最新安全更新，以及其他任何 Microsoft SQL Server 更新或应用程序可能使用的其他数据源更新，使应用程序服务器持续处于最新的状态。

9.防止用户恶意输入

10.尽量少使用"+"加号连接sql字符串，多使用存储过程或参数SQL语句

11.不要将关键信息存储于Cookie中 ，设置合理的有效时间，并对cookie中的信息加密，还可以把Cookie 的secure 和HttpOnly 属性设置为 true。

12.限制上传文件大小

< configuration >
    < system.web >
         < httpRuntime maxRequestLength = " 4096 "   />
    </ system.web >
</ configuration >

13.IIS配置为使用进程调节，防止消耗过多CPU