web.config 文件查找規則:
(1)如果在當前頁面所在目錄下存在web.config文件,查看是否存在所要查找的結點名稱,如果存在返回結果並停止查找。
(2)如果當前頁面所在目錄下不存在web.config文件或者web.config文件中不存在該結點名,則查找它的上級目錄,直到網站的根目錄。
(3)如果網站根目錄下不存在web.config文件或者web.config文件中不存在該節點名則在%windir%"Microsoft.NET"Framework"v2.0.50727"CONFIG"web.config文件中查找。
(4) 如果在%windir%"Microsoft.NET"Framework"v2.0.50727"CONFIG"web.config文件中不存在相應 結點,則在%windir%"Microsoft.NET"Framework"v2.0.50727"CONFIG"machine.config文件 中查找。
(5)如果仍然沒有找到則返回null。
在asp.net應用程序運行過程中,如果web.config文件發生更改就會導致相應的應用程序重新啟動,這時存儲在服務器內存中的用戶會話信息 就會丟失(如存儲在內存中的Session)。
(一)appSetings配置節點
<appSettings>節點主要用來存儲asp.net應用程序的一些配置信息,比如上傳文件的保存路徑等
<appSettings> <add key="ImageType" value=".jpg;.bmp;.gif;.png;.jpeg"/> <!--允許上傳的圖片格式類型--> </appSettings>
string fileType=ConfigurationManager.AppSettings["FileType "];
(二)<connectionStrings>節點
<connectionStrings> 節點主要用於配置數據庫連接的,我們可以<connectionStrings>節點中增加任意個節點來保存數據庫連接字符串,將來在代碼中 通過代碼的方式動態獲取節點的值來實例化數據庫連接對象,這樣一旦部署的時候數據庫連接信息發生變化我們僅需要更改此處的配置即可,而不必因為數據庫連接 信息的變化而需要改動程序代碼和重新部署
<connectionStrings> <add name="AspNetStudyConnectionString1" connectionString="Data Source=(local);Initial Catalog=AspNetStudy;User ID=sa;Password=sa"/> </connectionString>
string connectionString = ConfigurationManager.ConnectionStrings["AspNetStudyConnectionString1"].ConnectionString;
(三)<compilation>節點
<compilation>節點配置 ASP.NET 使用的所有編譯設置。默認的debug屬性為“true”,即允許調試,在這種情況下會影響網站的性能,所以在程序編譯完成交付使用之後應將其設為“false”。
(四)<authentication>節點
設置asp.net身份驗證模式,有四種身份驗證模式,它們的值分別如下:
Windows 使用Windows身份驗證,適用於域用戶或者局域網用戶。
Forms 使用表單驗證,依靠網站開發人員進行身份驗證。
Passport 使用微軟提供的身份驗證服務進行身份驗證。
None 不進行任何身份驗證。
(五)<customErrors>節點
<customErrors>節點用於定義 一些自定義錯誤信息的信息。此節點有Mode和defaultRedirect兩個屬性,其中defaultRedirect屬性是一個可選屬性,表示應 用程序發生錯誤時重定向到的默認URL,如果沒有指定該屬性則顯示一般性錯誤。Mode屬性是一個必選屬性,它有三個可能值,它們所代表的意義分別如下:
On 表示在本地和遠程用戶都會看到自定義錯誤信息。
Off 禁用自定義錯誤信息,本地和遠程用戶都會看到詳細的錯誤信息。
RemoteOnly 表示本地用戶將看到詳細錯誤信息,而遠程用戶將會看到自定義錯誤信息。
這 裡有必要說明一下本地用戶和遠程用戶的概念。當我們訪問asp.net應用程時所使用的機器和發布asp.net應用程序所使用的機器為同一台機器時成為 本地用戶,反之則稱之為遠程用戶。在開發調試階段為了便於查找錯誤Mode屬性建議設置為Off,而在部署階段應將Mode屬性設置為On或者 RemoteOnly,以避免這些詳細的錯誤信息暴露了程序代碼細節從而引來黑客的入侵。
(六)<error>子節點
在<customErrors>節點下還包含有< error>子節點,這個節點主要是根據服務器的HTTP錯誤狀態代碼而重定向到我們自定義的錯誤頁面,注意要使<error>子節點 下的配置生效,必須將<customErrors>節點節點的Mode屬性設置為“On”。下面是一個例子:
<customErrors mode="On" defaultRedirect="GenericErrorPage.htm"> <error statusCode="403" redirect="403.htm" /> <error statusCode="404" redirect="404.htm" /> </customErrors>
(七)<httpHandlers>節點
<httpHandlers>節點用於根據用戶請求的URL和HTTP謂詞將用戶的請求交給相應的處理程序。可以在配置級別的任何層次配置此節點,也就是說可以針對某個特定目錄下指定的特殊文件進行特殊處理。
<httpHandlers> <add path="*.rules" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.xoml" verb="*" type="System.ServiceModel.Activation.HttpHandler, System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" validate="false"/> <add path="trace.axd" verb="*" type="System.Web.Handlers.TraceHandler" validate="true"/> <add path="WebResource.axd" verb="GET" type="System.Web.Handlers.AssemblyResourceLoader" validate="true"/> <add path="*.axd" verb="*" type="System.Web.HttpNotFoundHandler" validate="true"/> <add path="*.aspx" verb="*" type="System.Web.UI.PageHandlerFactory" validate="true"/> <add path="*.ashx" verb="*" type="System.Web.UI.SimpleHandlerFactory" validate="true"/> <add path="*.asmx" verb="*" type="System.Web.Services.Protocols.WebServiceHandlerFactory, System.Web.Services, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" validate="false"/> <add path="*.rem" verb="*" type="System.Runtime.Remoting.Channels.Http.HttpRemotingHandlerFactory, System.Runtime.Remoting, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" validate="false"/> <add path="*.soap" verb="*" type="System.Runtime.Remoting.Channels.Http.HttpRemotingHandlerFactory, System.Runtime.Remoting, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" validate="false"/> <add path="*.asax" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.ascx" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.master" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.skin" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.browser" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.sitemap" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.dll.config" verb="GET,HEAD" type="System.Web.StaticFileHandler" validate="true"/> <add path="*.exe.config" verb="GET,HEAD" type="System.Web.StaticFileHandler" validate="true"/> <add path="*.config" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.cs" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.csproj" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.vb" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.vbproj" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.webinfo" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.licx" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.resx" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.resources" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.mdb" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.vjsproj" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.java" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.jsl" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.ldb" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.ad" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.dd" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.ldd" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.sd" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.cd" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.adprototype" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.lddprototype" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.sdm" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.sdmDocument" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.mdf" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.ldf" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.exclude" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.refresh" verb="*" type="System.Web.HttpForbiddenHandler" validate="true"/> <add path="*.svc" verb="*" type="System.ServiceModel.Activation.HttpHandler, System.ServiceModel, Version=3.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" validate="false"/> <add path="*" verb="GET,HEAD,POST" type="System.Web.DefaultHttpHandler" validate="true"/> <add path="*" verb="*" type="System.Web.HttpMethodNotAllowedHandler" validate="true"/> </httpHandlers>
從上面的配置中可以看出,針對*.mdf、*.ldf文件的Get或者Post請求都會交給 System.Web.HttpForbiddenHandler來處理,處理的結果就是用戶不能查看或者下載相關的文件。如果我們某個文件夾下的文件或 者某個類型的文件不允許用戶下載,可以在</httpHandlers>節點中增加相應的子節點。
下面我們以一個例子來說明<httpHandlers>節點的用法,在我們的asp.net應用程序中建立一個IPData目錄,在IPData目錄中創建一個IPData.txt文件,然後在Web.config中添加以下配置:
<httpHandlers> <add path="IPData/*.txt" verb="*" type="System.Web.HttpForbiddenHandler"/> </httpHandlers>
(九)<httpRuntime>節點
<httpRuntime>節點用於對 ASP.NET HTTP 運行庫設置。該節可以在計算機、站點、應用程序和子目錄級別聲明。
例如下面的配置控制用戶最大能上傳的文件為40M(40*1024K),最大超時時間為60秒,最大並發請求為100個
<httpRuntime maxRequestLength="40960" executionTimeout="60" appRequestQueueLimit="100"/>
(十)<pages>節點
<pages>節點用於表示對特定頁設置,主要有三個屬性,分別如下:
buffer 是否啟用了 HTTP 響應緩沖。
enableViewStateMac 是否應該對頁的視圖狀態運行計算機身份驗證檢查 (MAC),以放置用戶篡改,默認為false,如果設置為true將會引起性能的降低。
validateRequest 是否驗證用戶輸入中有跨站點腳本攻擊和SQL注入式漏洞攻擊,默認為true,如果出現匹配情況就會發HttpRequestValidationException 異常。對於包含有在線文本編輯器頁面一般自行驗證用戶輸入而將此屬性設為false。
<pages buffer="true" enableViewStateMac="true" validateRequest="false"/>
(十一)<sessionState>節點
<sessionState>節點用於配置當前asp.net應用程序的會話狀態配置。以下就是一個常見配置:
<sessionState cookieless="false" mode="InProc" timeout="30" />
上面的節點配置是設置在asp.net應用程序中啟用Cookie,並且指定會話狀態模式為在進程中保存會話狀態,同時還指定了會話超時為30分鐘。
<sessionState>節點的Mode屬性可以是以下幾種值之一:
Custom 使用自定義數據來存儲會話狀態數據。
InProc 默認值。由asp.net輔助進程來存儲會話狀態數據。
Off 禁用會話狀態。
SQLServer 使用進程外SQL Server數據庫保存會話狀態數據。
StateServer 使用進程外 ASP.NET 狀態服務存儲狀態信息。
一般默認情況下使用InProc模式來存儲會話狀態數據,這種模式的好處是存取速度快,缺點是比較占用內存,所以不宜在這種模式下存儲大型的用戶會話數據
(十二)<globalization>節點
用於配置應用程序的全球化設置。此節點有幾個比較重要的屬性,分別如下:
fileEncoding 可選屬性。設置.aspx、.asmx 和 .asax 文件的存儲編碼。
requestEncoding 可選屬性。設置客戶端請求的編碼,默認為UTF-8.
responseEncoding 可選屬性。設置服務器端響應的編碼,默認為UTF-8.
以下就是asp.net應用程序中的默認配置:
<globalization fileEncoding="utf-8" requestEncoding="utf-8" responseEncoding="utf-8"/>
(十三)web.config文件讀寫
public void SetAppSetting(string key, string value) { AppSettingsSection appSetting = (AppSettingsSection)config.GetSection("appSettings"); if (appSetting.Settings[key] == null)//如果不存在此節點,則添加 { appSetting.Settings.Add(key, value); } else//如果存在此節點,則修改 { appSetting.Settings[key].Value = value; } }