管理 Web 部件 (SharePoint Server 2010)
适用于: SharePoint Foundation 2010, SharePoint Server 2010
上一次修改主题: 2016-11-30
Web 部件是在 SharePoint 网站的页面上呈现信息的模块式元素。有关详细信息,请参阅 SharePoint Foundation 2010 SDK 的 SharePoint Foundation 中的 Web 部件 (https://go.microsoft.com/fwlink/?linkid=184240&clcid=0x804) 部分。
本文可帮助您准备管理与 SharePoint Server 2010 一起使用的 Web 部件页和控件的安全问题。
在 Microsoft SharePoint Server 中,Web 部件页是一个 Web 部件集合,它可以将列表数据、即时信息或有用的图形组合到一个动态网页中。Web 部件页的布局和内容可针对所有用户进行设置,也可针对每个用户进行个性化设置。网站所有者或具有相应权限的网站成员可以通过使用浏览器添加、重新配置或移除 Web 部件来创建和自定义 Web 部件页。
Web 部件不限于仅在 Web 部件页上使用。可以直接将 Web 部件添加到 wiki 网页、内容页和发布网页上。
可以将 SharePoint Server 中的 Web 部件配置为在沙盒解决方案中运行。沙盒解决方案可防止 Web 部件访问某些本地或网络资源,从而保护 SharePoint Server 服务器场上的其他内容和解决方案。通过实现沙盒解决方案,用户可以将自己的 Web 部件添加到宿主环境中,开发人员也可以添加尚未经过彻底测试的 Web 部件来用于生产。
有关沙盒解决方案的详细信息,请参阅规划沙盒解决方案 (SharePoint Server 2010)。
在 SharePoint Server 中,Web 部件基础架构位于 ASP.NET Web 部件基础架构的上一层。为了有效保护 SharePoint 网站,服务器管理员必须熟悉 ASP.NET 的安全准则和最佳实践。有关详细信息,请参阅 MSDN Library Online 中的安全准则:ASP.NET 2.0(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=103423&clcid=0x804)(该链接可能指向英文页面)。
Web 部件页和控件的安全
保护 Web 部件页和控件是一项需要协作完成的工作。开发人员、网站管理员和服务器管理员必须协同工作以提高 Web 部件和 Web 部件页的安全性。开发人员应验证 Web 部件输入以阻止服务器攻击。服务器管理员必须将 Internet Information Services (IIS) 配置为使用适当的身份验证方法。
服务器管理员还要配置 Web 部件解决方案并将其部署到 Web 服务器或 Web 服务器场。在部署解决方案之后,网站管理员或服务器管理员可以定义针对 Web 部件页的权限级别和访问权限。
下表显示了负责配置针对 Web 部件页和 Web 部件的权限的安全角色。
| 角色 | 类别 | 适用于 | 说明 | 建议的准则 |
|---|---|---|---|---|
开发人员 |
输入验证 |
Web 部件代码 |
输入验证是指应用程序在执行其他处理之前如何筛选、清理或拒绝输入。这包括验证应用程序接收的输入是否有效和安全。 |
MSDN Library Online 上的构建安全的 ASP.NET 页和控件(https://go.microsoft.com/fwlink/?linkid=103424&clcid=0x804) MSDN Library Online 上的演练:创建基本 SharePoint Web 部件(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=103425&clcid=0x804)(该链接可能指向英文页面) |
服务器管理员 |
身份验证 |
IIS |
身份验证是指一个实体验证另一个实体的身份的过程,通常使用凭据(例如用户名和密码)进行验证。 |
|
网站管理员/服务器管理员 |
授权 |
网站集 |
授权是指通过确定哪些用户可以对给定对象执行特定操作,从而提供对网站、列表、文件夹或项目的访问控制的过程。授权过程假定用户已经过身份验证。 |
MSDN Library Online 上的授权和身份验证(https://go.microsoft.com/fwlink/?linkid=103428&clcid=0x804) |
服务器管理员 |
配置管理 |
.NET Framework 配置 |
配置管理包含各种各样的设置,利用这些设置,管理员可以管理 Web 应用程序及其环境。这些设置存储在 XML 配置文件中,其中一些设置可控制计算机范围的设置,而另一些设置可控制特定于应用程序的配置。可以在配置文件中定义特殊的安全约束,也可以定义计算机级别的代码访问安全权限。 |
MSDN Library Online 上的“保护 Web 服务器的安全”中的“代码访问安全”(https://go.microsoft.com/fwlink/?linkid=103431&clcid=0x804) MSDN Library Online 上的 Microsoft Windows SharePoint Services 和代码访问安全(该链接可能指向英文页面)(https://go.microsoft.com/fwlink/?linkid=103436&clcid=0x804)(该链接可能指向英文页面) MSDN Library Online 上的在 ASP.NET 中使用代码访问安全(https://go.microsoft.com/fwlink/?linkid=103438&clcid=0x804) |