安全决策不应依赖于客户端验证，而应在服务器端进行。

应明确区分用于从 ASP.NET Web 应用程序访问远程资源的标识。

标识用于例外管理的安全方法。如果出现例外，应用程序会安全地失败。

将 Web 控件、用户控件和资源访问代码按照各自的集合进行划分，以获得精确的安全性。

应对用户输入的类型、长度、格式和范围进行验证。检查输入时，先检查已知、有效和安全的数据，然后检查恶意、危险的数据。

对于常规的 HTML 控件、查询字符串、cookie 以及其他形式的输入，可以使用 Regex 类和/或自定义验证代码来验证。

服务器控件中的范围检查是由 RangeValidator 控件来检查。

输入文件名的格式应是正确的，并且在应用程序上下文中经过验证是有效的。

在适当情况下，使用 MapPath 限制跨应用程序的映射。

启用 ASP.NET 版本 1.1 的 validateRequest 选项。

对于深层防御，使用 HttpOnly cookie 选项，以便帮助防止 cross-site 脚本。（应用于 Internet Explorer 6.1 或以上版本。）

将站点划分为受限制区域和公共区域。

使用安全套接字层 (SSL) 来保护凭据和身份验证 cookie。

通过使用 requireSSL 属性或 Secure cookie 属性，将表单身份验证 cookie 限制在 HTTPS 连接中。

身份验证 cookie 不是持久的。

个人化 cookie 应与身份验证 cookie 分开。

通过使用 Aspnet_setreg.exe，在配置文件中加密模拟凭据（如果使用固定标识）。

不应在 <forms> 元素中使用 <credentials> 元素进行表单身份验证，而应当仅用它进行测试。

使用 URL 授权对网页和目录进行访问控制。

使用主要权限需求来保护对类和成员的访问。

通过使用 HttpForbiddenHandler 来阻止对配置文件的检索。

通过使用 Aspnet_setreg.exe，在 <processModel> 元素上对自定义帐户凭据（如果使用）进行加密。

使用 SSL 保护网络上的敏感数据。

不应将敏感数据存储在 cookie、隐藏的表单域或查询字符串中。

避免在 Web.config 和 Machine.config 文件中使用明文密码。（使用 Aspnet_setreg.exe 来加密凭据。）

使用 SSL 保护需要身份验证访问的所有网页上的会话 cookie。

如果使用会话状态服务，应使用最低权限的帐户运行该服务。

限制对 SQL Server 中的状态数据的访问。

对通向状态存储区的通讯通道进行加密（IPSec 或 SSL）。

使用消息验证代码 (MAC) 来保护查看状态。

验证所有输入参数。

使用结构化的例外处理。

将无有害消息的一般错误页面返回客户端。

应用程序应区别错误和例外条件。

配置 ASP.NET 进程，以便允许在运行时新建事件源，或在安装时创建应用程序事件源。

<trace/>
在生产服务器上禁用跟踪。

<trace enabled="false"> 

<httpRuntime>
配置 maxRequestLength 以防止用户上载非常大的文件（可选）。

<pages>
如果应用程序不使用查看状态，应将 enableViewState 设置为 "false"。

<pages enableViewState="false" . . ./> . ./>

如果应用程序使用查看状态，应将 enableViewState 设置为 "true"，并将 enableViewStateMac 设置为 "true"，以便检测查看状态的篡改。

<pages enableViewState="true" enableViewStateMac="true" /> 

<authentication>
正确配置身份验证模式，以满足应用程序的要求。要强制使用特定的身份验证类型， 可以使用带有 allowOverride="false" 的 <location> 元素。

<location path="" allowOverride="false">   
<system.web> 
<authentication mode="Windows" />   
</system.web></location> 

<identity>
如果使用模拟标识，可以通过使用 Aspnet_setreg.exe 在注册表中对其进行加密：

<identity impersonate="true"           
userName="registry:HKLM\SOFTWARE\YourApp\ 
identity\ASPNET_SETREG,userName"           
password="registry:HKLM\SOFTWARE\YourApp\ 
identity\ASPNET_SETREG,password"/> 

<machineKey>
如果在同一个 Web 服务器上部署多个 ASP.NET Web 应用程序，应使用“IsolateApps”设置，以确保为每个 Web 应用程序生成单独的密钥。

<machineKey validationKey="AutoGenerate,IsolateApps" 
decryptionKey="AutoGenerate,IsolateApps"       
validation="SHA1" /> 

如果ASP.NET Web 应用程序运行在 Web 场中，则需要特定的计算机密钥，并且这些密钥是通过 Web 场中所有服务器来复制的。
如果启用查看状态，则应将 validation 属性设置为 "SHA1"。
如果对应用程序的表单身份验证 cookie 进行加密，则应将 validation 属性设置为 "3DES"。

<httpHandlers>
将不用的文件类型映射到 HttpForbiddenHandler，以防止通过 HTTP 检索文件。例如：

<add verb="*" path="*.rem"             
type="System.Web.HttpForbiddenHandler"/>  

<webServices>
禁用不使用的协议。
禁用“自动生成 Web 服务描述语言 (WSDL)”（可选）。

会话状态为了避免服务器的相似性，应在进程外维护 ASP.NET 会话状态，如在 ASP.NET SQL Server 的状态数据库，或运行在远程计算机上的进程外状态服务中。

DPAPI DPAPI 不能与计算机密钥一起用于对农场中所有服务器都需要访问的公共数据进行加密。要对远程服务器上的共享数据进行加密，应使用另外的方案，如 3DES。

应用程序有独特的计算机密钥。
在 <machineKey> 上使用 IsolateApps 或使用每个应用程序的 <machineKey> 元素。

<machineKey validationKey="AutoGenerate,IsolateApps"  
decryptionKey="AutoGenerate,IsolateApps" . . . /> . . />

在 Microsoft Windows® Server 2003 上使用多个进程（IIS 6.0 应用程序池）进行应用程序隔离。

在 Web 农场中的所有服务器上启用公共计算机密钥。

使用代码访问安全信任级别进行进程隔离，并限制对系统资源的访问（需要 .NET Framework 版本 1.1）。

临时的 ASP.NET 文件

%windir%\Microsoft.NET\Framework\{version}Temporary ASP.NET Files

ASP.NET 进程帐户和模拟标识：完全控制

.NET Framework 目录

%windir%\Microsoft.NET\Framework\{version} 

ASP.NET 进程帐户和模拟标识：
读取和执行
文件夹内容

网站根目录

C:\inetpub\wwwroot 

或默认网站指向的路径
ASP.NET 进程帐户：完全控制

全局程序集缓存

%windir%\assembly 

进程帐户和模拟标识：读取

配置 IIS Web 权限。
Bin 目录没有读取、写入或目录浏览权限。
将执行权限设置为 None。