내가 엿볼의 쿠키가 발견되지 않는 경우는로드 정도 아무것도하지 않는 생각 위반 성능은 무시할 수 있어야합니다. 보안상의 이유로 엿볼 수있는 경로의 위치를 web.config에 사용자 제한으로 설정할 수 있습니다.
<location path="Glimpse.axd" >
<system.web>
<authorization>
<allow users="Administrator" />
<deny users="*" />
</authorization>
</system.web>
</location>
관리자 역할이있는 경우 사용자 이름 대신 역할로 수행 할 수 있습니다.
쿠키 존재에만 의존하고 싶지 않으면 스위치를 끌 수도 있습니다. 이것은 web.config 변형을 통해 쉽게 달성 할 수 있습니다. 아직 마크 업을 테스트하지는 않았지만이 같은 것이 작동해야합니다.
<glimpse enabled="false" xdt:Transform="SetAttributes">
</glimpse>
UPDATE : 살짝는 최근 몇 가지 변화를 보았고 (1.0 이후 내가 믿는?) 다음과 같이 지금 보일 것이다 변환했다. enabled
속성을 설정하려고하면 가장 최신 버전의 Glimpse에 구성 오류가 발생합니다.
<glimpse defaultRuntimePolicy="Off" xdt:Transform="SetAttributes">
</glimpse>
문서가 말했듯이
...
엿볼은 DefaultRuntimePolicy
에 지정된 보다 HTTP 응답과 더 많은 일을 허용되지 않습니다.
이 변형이 제공하는 유일한 목적은 배포 프로세스의 일부로 Glimpse를 사용하는 기능을 제거하려는 것입니다. 원격 요청이나 권한 부여 확인과 같은 다른 기준에 따라 조건부로 비활성화하려면 정책을 통해 수행하는 것이 좋습니다. Glimpse는 일련의 정책 (지금은 IRuntimePolicy
)을 기반으로 운영되며, 언제 일을 할 수 있는지 결정할 수 있도록 도와줍니다. 사실 한 번 Glimpse가 설치되면 glimpse.axd로 이동하면 해당 페이지의 맨 아래에 현재 활성화 된 정책 목록이 표시됩니다. 원격 요청으로 액세스하지 못하도록하는 LocalPolicy
(구성 가능한 경우 원격 요청을 허용하도록 web.config를 통해 모든 정책을 무시할 수 있음) http://getglimpse.com/Help/Configuration. 또한 인증 제한을 추가하는 데 사용할 수있는 Nuget을 사용하여 Glimpse를 설치할 때 포함되는 GlimpseSecurityPolicy
이라는 샘플 클래스가 있습니다.
public class GlimpseSecurityPolicy:IRuntimePolicy
{
public RuntimePolicy Execute(IRuntimePolicyContext policyContext)
{
// You can perform a check like the one below to control Glimpse's permissions within your application.
// More information about RuntimePolicies can be found at http://getglimpse.com/Help/Custom-Runtime-Policy
var httpContext = policyContext.GetHttpContext();
if (httpContext.User != null && !httpContext.User.IsInRole("Glimpse")) //Once glimpse is turned on, you have to be a member of this Role to see the Glimpse Panel.
{
return RuntimePolicy.Off;
}
return RuntimePolicy.On;
}
public RuntimeEvent ExecuteOn
{
get { return RuntimeEvent.EndRequest; }
}
}
이제 정책을 엿볼 실행해야 할 때 결정하는 데 사용됩니다, 그러나 그들은 glimpse.axd 페이지를 표시 할 수있는에서 사용자를 방지하지 않습니다.쿠키는 내가 무엇을 말할 수 있는지에 따라 여전히 활성화 될 수 있지만 쿠키가 존재 함에도 불구하고 흘끗 보임을 거부하면 쿠키는 의미가 없습니다. 즉, web.config의 location 태그를 사용하여 권한 확인에서 glixse.axd 페이지를 래핑하는 것이 좋습니다. 위의 내용은
GlimpseSecurityPolicy
에 추가 된 것입니다.
<location path="glimpse.axd">
<system.web>
<authorization>
<allow roles="Glimpse" />
<deny users="*" />
</authorization>
</system.web>
</location>
업데이트로 조금 전에 새로운 updaet을 출시했습니다. 더 많은 사용자 정의 논리를 사용하여 작업을 잠글 수 있습니다. http://blog.getglimpse.com/2013/12/09/protect- 엿볼 - axd -와 - 사용자 정의 런타임 정책/ – anthonyv