iis / asp.net 使用 .config 和 .xml 文件的区别

 

因为在项目中有同窗使用后缀为 .xml 的文件做为配置文件，而配置文件中有一些敏感信息被记录，如接口地址，Token，甚至还有数据库链接字符串。

之前都没想过为什么微软会使用.config 的后缀在做为web.config，仅仅是为了直观吗？ 众所周知，.config 实际也是.xml的一部分，是一个子集。理论上用 xxx.xml也是能够的。因此致使不少人习惯性的将不少配置文件以 .xml 的后缀使用。若是在网站中使用xml，若是不加以限制，是能够浏览.xml文件的内容的。若是你的.xml配置了敏感信息，等于埋了一颗雷。

举个日志配置的例子：

实际中随着项目的开发，可能不少功能都使用xml后缀为配置，没有作访问规则处理，若是被不怀好心的人扫描到网站目录，那将会很严重。

 

解决方式：

1、在iis中配置请求筛选，实际上为何使用.config后缀，由于iis默认给添加了请求筛选，不须要本身去配置。这也是最主要的缘由，次要缘由.config也是直观上知道这个配置文件。

这是默认的.config配置

咱们自定义添加一个隐藏段“configs”，把整个目录设置不能访问，而后试试效果

配置后会在web.config生成相应的配置

 

配置后的效果：

 

 

2、若是能够，在网站项目把.xml配置文件改成.config

但也仅限因而配置文件，若是只是普通的xml文件那也就没有必要使用.config的后缀。不一样的业务使用不一样的方式。

使用.config做为配置文件，也减小了网站维护人员的烦恼。若是万一哪天说咱们网站被暴了，可能好久都查找不来问题。

 

可能有不少人都会忽略这个细节。特别是从桌面开发人员转过来开发网站项目的。。

 

本文内容未必彻底正确，若有错误恳请指证，避免误人子弟，谢谢。