【发布时间】:2020-05-08 15:26:36
【问题描述】:
official documentation listsappsettings.json 的以下做法:
- 切勿在配置提供程序代码或纯文本配置文件中存储密码或其他敏感数据。
- 请勿在开发或测试环境中使用生产机密。
- 在项目之外指定机密,这样它们就不会被意外提交到源代码存储库。
据我所知,当您在 IIS 上托管应用程序时不会提供 appsettings.json,因此无法从 Web 访问。我们还自己托管源代码(即在我们自己的服务器上)。据我所知,唯一真正的危险是当有人设法破坏整个系统并实际访问 appsettings.json 本身时。
但是还有其他原因将敏感数据保留在 appsettings.json 之外吗?还有其他我忽略的安全方面吗?
我知道有几个问题询问如何 保证 appsettings.json 的安全,但不知道实际风险是什么。
【问题讨论】:
标签: security asp.net-core .net-core asp.net-core-3.1