为什么一个简单的asp.net mvc网站需要完全信任?
我构建了一个非常简单的asp.net mvc网站(它不使用asp.net标识、实体框架,也不使用任何数据库)。以下是参考资料:
和web.config
<configuration>
<appSettings>
<add key="webpages:Version" value="3.0.0.0" />
<add key="webpages:Enabled" value="false" />
<add key="ClientValidationEnabled" value="true" />
<add key="UnobtrusiveJavaScriptEnabled" value="true" />
</appSettings>
<system.web>
<compilation debug="true" targetFramework="4.5.2" />
<httpRuntime targetFramework="4.5.2" />
</system.web>
<runtime>
<assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
<dependentAssembly>
<assemblyIdentity name="Newtonsoft.Json" culture="neutral" publicKeyToken="30ad4fe6b2a6aeed" />
<bindingRedirect oldVersion="0.0.0.0-6.0.0.0" newVersion="6.0.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Optimization" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="1.0.0.0-1.1.0.0" newVersion="1.1.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="WebGrease" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="0.0.0.0-1.5.2.14234" newVersion="1.5.2.14234" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Helpers" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.WebPages" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="1.0.0.0-3.0.0.0" newVersion="3.0.0.0" />
</dependentAssembly>
<dependentAssembly>
<assemblyIdentity name="System.Web.Mvc" publicKeyToken="31bf3856ad364e35" />
<bindingRedirect oldVersion="1.0.0.0-5.2.3.0" newVersion="5.2.3.0" />
</dependentAssembly>
</assemblyBinding>
</runtime>
<system.codedom>
<compilers>
<compiler language="c#;cs;csharp" extension=".cs" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.CSharpCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:6 /nowarn:1659;1699;1701" />
<compiler language="vb;vbs;visualbasic;vbscript" extension=".vb" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.VBCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:14 /nowarn:41008 /define:_MYTYPE=\"Web\" /optionInfer+" />
</compilers>
</system.codedom>
<system.net>
<mailSettings>
<smtp deliveryMethod="Network" from="info@domain.com">
<network host="smtp.domain.com" userName="info@domain.com" password="password" port="25" />
</smtp>
</mailSettings>
</system.net>
</configuration>我将它发布在共享主机服务器上(使用IIS 8.5),并获得了一个安全性异常:
说明:应用程序试图执行安全策略不允许的操作。若要授予此应用程序所需的权限,请与系统管理员联系,或更改应用程序在配置文件中的信任级别。
问题是为什么这个简单的网站需要完全信任?我不明白,如果它需要完全信任比任何asp.net网站应该要求完全信任。
更新:新的.net框架特性需要完全信任。我卸载了软件包Microsoft.CodeDom.Providers.DotNetCompilerPlatform和Microsoft.Net.Compilers,现在它可以工作了。
回答 2
Stack Overflow用户
发布于 2016-06-27 22:16:17
根据this post from a Microsoft employee (答复为6月20日'13):
我们正在从我们开发的框架(MVC、WebAPI、SignalR等)中删除中等信任支持。展望未来,构建在这些框架上的应用程序将需要完全信任的。 编辑2015年5月26日:.NET框架作为一个整体已经放弃了部分信任,并且建议客户不要依赖它作为安全边界。
因此,不应该感到惊讶的是,完全信任是必需的,因为部分信任现在已经完全过时。
Stack Overflow用户
发布于 2016-06-27 17:28:20
这可能会有帮助。
https://support.microsoft.com/en-us/kb/555466
您可能需要创建一个应用程序池,并为您的应用程序设置适当的安全级别。建议更改的部分在machine.config中。
https://stackoverflow.com/questions/38059326
复制相似问题
腾讯云开发者
