1.3 配置ASP.NET3.5应用程序

在ASP.NET应用程序中，可以在系统提供的配置文件Web.config中对该应用程序进行配置，可以配置的信息包括错误信息显示方式、会话存储方式和安全设置等。Web.config文件是一个XML文本文件，它用来储存ASP.NET Web应用程序的配置信息（如最常用的设置ASP.NET Web应用程序的身份验证方式），它可以出现在应用程序的每一个目录中。当读者通过C#.NET新建一个Web应用程序后，默认情况下会在根目录自动创建一个默认的Web.config文件，包括默认的配置设置，所有的子目录都继承它的配置设置。如果读者想修改子目录的配置设置，读者可以在该子目录下新建一个Web.config文件。它可以提供除从父目录继承的配置信息以外的配置信息，也可以重写或修改父目录中定义的设置。在运行时对Web.config文件的修改不需要重启服务就可以生效（注：<processModel>节例外）。当然Web.config文件是可以扩展的。读者可以自定义新配置参数并编写配置节处理程序以对它们进行处理。Web.config配置文件的所有代码都应该位于<configuration><system.web>和</system.web></configuration>之间。下面介绍一下常用的配置。

（1） <authentication>节。

<authentication>节通常用来配置ASP.NET身份验证支持（为Windows、Forms、PassPort、None四种）。该元素只能在计算机、站点或应用程序级别声明。<authentication>元素必需与<authorization>节配合使用。

例如基于窗体的身份验证站点的配置，代码如下：

第1行和第3行代码定义<authentication>节，把Mode属性设置为Forms表示这个站点将执行基于窗体的身份验证，第2行代码定义当没有登录身份的用户访问页面时自动跳转到的页面，其中其中元素loginUrl表示登录网页的名称，name表示Cookie名称。

          1:<authentication mode="Forms" >
          2:       <forms loginUrl="logon.aspx"name=".FormsAuthCookie"/>
          3:</authentication>

（2） <authorization>节。

<authorization>节通常用来控制对URL资源的客户端访问（如允许匿名读者访问）。此元素可以在任何级别（计算机、站点、应用程序、子目录或页）上声明。必需与<authentication>节配合使用。读者可以使用user.identity.name来获取已经过验证的当前的读者名；可以使用web.Security.FormsAuthentication.RedirectFromLoginPage方法将已验证的读者重定向到读者刚才请求的页面。

例如禁止匿名用户访问的站点的配置，代码如下：

第1行和第3行代码定义<authorization>节，第2行通过设置<deny users="? "/>来实现任何来访的用户都需要身份认证的。

          1:<authorization>
          2:<deny users="? "/>
          3:</authorization>

（3） <compilation>节。

<compilation>节通常用来配置ASP.NET使用的所有编译设置。默认的debug属性为“True”。在程序编译完成交付使用之后应将其设为True。

（4） <customErrors>节。

<customErrors>节通常用来为ASP.NET应用程序提供有关自定义错误信息的信息。它不适用于XML Web services中发生的错误。

例如当发生错误时，将网页跳转到自定义的错误页面的配置，代码如下：

第1行和第2行代码定义<customErrors>节，并通过属性defaultRedirect来定义发生错误时条转的页面是ErrorPage.aspx。

          1:<customErrors defaultRedirect="ErrorPage.aspx" mode="RemoteOnly">
          2:</customErrors>

（5） <httpRuntime>节。

<httpRuntime>节通常用来配置ASP.NET HTTP运行库设置。该节可以在计算机、站点、应用程序和子目录级别声明。

例如ASP.NET HTTP运行库设置，代码如下：

这段代码的含义是控制读者上传文件最大为4MB，最长时间为60秒，最多请求数为100

          1:<httpRuntime maxRequestLength="4096" executionTimeout="60" appRequestQueueLimit="100"/>

（6） <pages>节。

<page>节通常用来标识特定于页的配置设置（如是否启用会话状态、视图状态，是否检测读者的输入等）。<pages>可以在计算机、站点、应用程序和子目录级别声明。下面来看一个例子：

例如：不检测读者在浏览器输入的内容中是否存在潜在的危险数据（注：该项默认是检测，如果读者使用了不检测，一定要对读者的输入进行编码或验证），在从客户端回发页时将检查加密的视图状态，以验证视图状态是否已在客户端被篡改。

          1:<pages buffer="true" enableViewStateMac="true" validateRequest="false"/>

（7） <sessionState>节。

<sessionState>节通常用来为当前应用程序配置会话状态设置（如设置是否启用会话状态，会话状态保存位置）。

例如设置会话状态，代码如下：

第1行和第2行代码用来设置会话状态的，其中mode="InProc"表示：在本地储存会话状态（读者也可以选择储存在远程服务器或SAL服务器中或不启用会话状态）cookieless="true"表示：如果读者浏览器不支持Cookie时启用会话状态（默认为False）timeout="20"表示：会话可以处于空闲状态的分钟数。

          1:<sessionState mode="InProc" cookieless="true" timeout="20"/>
          2:</sessionState>

（8） <trace>节。

<trace>节通常用来配置ASP.NET跟踪服务，主要用来测试程序判断哪里出错。

例如Web.config中的对跟踪服务的默认配置，代码如下：

这行代码用来设置跟踪服务的，其中enabled="false"表示不启用跟踪；requestLimit="10"表示指定在服务器上存储的跟踪请求的数目；pageOutput="false"表示只能通过跟踪实用工具访问跟踪输出；traceMode="SortByTime"表示以处理跟踪的顺序来显示跟踪信息；localOnly="true" 表示跟踪查看器（trace.axd）只用于宿主Web服务器。

          1:<trace enabled="false" requestLimit="10" pageOutput="false" traceMode="SortByTime" localOnly="true" />