IIS信任级别相关说明
使用 UI
-
打开 IIS 管理器,然后导航至您要管理的级别。
-
在“功能视图”中,双击“.NET 信任级别”。
-
在“.NET 信任级别”页中,从“信任级别”下拉列表中选择一个信任级别,然后单击“操作”窗格中的“应用”。
命令行
若要设置信任级别,请使用下面的语法:
appcmd set config /commit:WEBROOT /section:trust /level: Full | High | Medium | Low | Minimal
level 属性使用与预先配置的 CAS 策略文件对应的五个值之一。 例如,若要设置 Full 信任级别,请在命令提示符处键入如下命令,然后按 Enter:
appcmd set config /commit:WEBROOT /section:trust /level:Full
ASP.NET 信任级 | 主要限制 |
Full | 无限权限。应用程序可以访问任何受操作系统安全限制的资源。支持所有特权操作。 |
High | 不能调用非托管代码 不能调用服务组件 不能写事件日志 不能访问 Microsoft 消息队列 不能访问 OLE DB 数据源 |
Medium | 除上述之外,文件访问仅限于当前应用程序目录,注册表访问是不允许的。 |
Low | 除上述之外,应用程序不能连接 SQL Server,代码无法调用 CodeAccessPermission.Assert(即不能断言安全权限)。 |
Minimal | 只有执行权限。 |
完全信任级别:应用程序可以访问任何受操作系统安全限制的资源,支持所有特权操作
部分信任级别:不能调用非托管代码
不能调用服务组件
不能写事件日志
不能访问 Microsoft 消息队列
不能访问 OLE DB 数据源
因为“完全信任级别”可以可以支持特权操作,所以对大部分程序代码都适用,但是“完全信任级别”存在安全风险,开启“完全信任级别”不仅对服务器造成一定的安全风险,更会降低在服务器上运行的网站的安全级别。而“部分信任级别”不仅可以适合90%的程序代码,更重要的是如果有恶意代码,它不会执行任何可能带来危险的操作,这就很大程度上提高服务器以及网站的安全级别,所以我们建议您使用“部分信任级别”,如果您的程序现在的代码有需要开启“完全信任级别”才能使用的代码,我们也建议您将程序更改成适用于“部分信任级别”的程序,然后选择使用开启“部分信任级别”的服务器。