針對軟件測試開發技術 .NET 框架的安全編碼指南

基于證據的安全性的前提條件是，只有可信賴的代碼才會被授予高度信任（許多強大的權限），而惡意代碼只會被授予很少的信任或者不授予信任。.NET 框架隨附的默認策略使用區域（由 Microsoft Internet Explorer 確定）來授予權限。下面是默認策略的簡要說明：

本地機器區域（例如，c:\app.exe）接收完全信任。它假定用戶僅將他們信任的代碼放在機器上，并且大多數用戶不想以不同的信任區域來隔離他們的硬盤。該代碼基本上可以做任何事情，并且托管代碼安全性是無法實施的，所以沒有辦法防御該區域中的惡意代碼。

Internet 區域（例如，http://www.microsoft.com/）代碼被授予一組非常有限的權限，這些權限通常被認為可以安全地授予，甚至可以授予惡意代碼。一般情況下，不可信任該代碼，所以只能使用一組它無法用來執行有害操作的弱權限來安全地執行，這組權限是：

WebPermission。對它所在站點服務器的訪問權。

FileDialogPermission。只能訪問用戶明確選擇的文件。

IsolatedStorageFilePermission。由 Web 站點隔離的永久存儲區。

UIPermission�？梢栽诎�含 UI 的安全窗口中執行寫入操作。

Intranet 區域（例如，\\UNC\share）代碼被授予一組略強的 Internet 權限，但仍然沒有強大的權限：

FileIOPermission。對它所在目錄中文件的只讀權限。

文章來源于領測軟件測試網 http://www.kjueaiud.com/