.Net网站的web.config配置说明-c#-IT落伍者

一认识Webconfig文件

Webconfig 文件是一个XML文本文件它用来储存 ASPNET Web 应用程序的配置信息（如最常用的设置ASPNET Web 应用程序的身份验证方式）它可以出现在应用程序的每一个目录中当你通过NET新建一个Web应用程序后默认情况下会在根目录自动创建一个默认的Webconfig文件包括默认的配置设置所有的子目录都继承它的配置设置如果你想修改子目录的配置设置你可以在该子目录下新建一个Webconfig文件它可以提供除从父目录继承的配置信息以外的配置信息也可以重写或修改父目录中定义的设置

(一)WebConfig是以XML文件规范存储配置文件分为以下格式

配置节处理程序声明

特点位于配置文件的顶部包含在<configSections>标志中

特定应用程序配置

特点: 位于<appSetting>中可以定义应用程序的全局常量设置等信息

配置节设置

特点: 位于<systemWeb>节中控制Aspnet运行时的行为

配置节组

特点: 用<sectionGroup>标记可以自定义分组可以放到<configSections>内部或其它<sectionGroup>标记的内部

(二)配置节的每一节

<configuration>节

根元素其它节都是在它的内部

<appSetting>节

此节用于定义应用程序设置项对一些不确定设置还可以让用户根据自己实际情况自己设置

用法:

定义了一个连接字符串常量并且在实际应用时可以修改连接字符串不用修改程式代码

II<appSettings>

定义了一个错误重定向页面

<compilation>节

格式:

<compilation

defaultLanguage="c#"

debug="true"

Idefault language: 定义后台代码语言可以选择C#和VBnet两种语言

IIdebug : 为true时启动aspx调试为false不启动aspx调试因而可以提高应用程序运行

时的性能一般程序员在开发时设置为true交给客户时设置为false

<customErrors>节

格式:

<customErrors

mode="RemoteOnly"

defaultRedirect="erroraspx"

Imode : 具有OnOffRemoteOnly 种状态On表示始终显示自定义的信息; Off表示始终显示详细的aspnet错误信息; RemoteOnly表示只对不在本地Web服务器上运行的用户显示自定义信息

IIdefaultRedirect: 用于出现错误时重定向的URL地址是可选的

IIIstatusCode: 指明错误状态码表明一种特定的出错状态

IV redirect:错误重定向的URL

<globalization>节

格式:

<globalization

requestEncoding="utf"

responseEncoding="utf"

fileEncoding="utf"

IrequestEncoding: 它用来检查每一个发来请求的编码

IIresponseEncoding: 用于检查发回的响应内容编码

IIIfileEncoding: 用于检查aspxasax等文件解析的默认编码

<sessionState>节

格式:

<sessionState

mode="InProc"

stateConnectionString="tcpip=:"

sqlConnectionString="data source=;Trusted_Connection=yes"

cookieless="false"

timeout=""

Imode: 分为offInprocStateServerSqlServer几种状态

这里有详细介绍此属性:

II stateConnectionString :指定Aspnet应用程序存储远程会话状态的服务器名默认为本机

IIIsqlConnectionString: 当用会话状态数据库时在这里设置连接字符串

IV Cookieless: 设置为true时表示不使用cookie会话状态来标识客户否则相反

V TimeOut: 用来定义会话状态存储的时间超过期限将自动终止会话

<authentication>节

格式:

</authentication>

</authorization>

IWindows: 使用IIS验证方式

IIForms: 使用基于窗体的验证方式

IIIPassport: 采用Passport cookie验证模式

IVNone: 不采用任何验证方式

里面内嵌Forms节点的属性涵义:

IName: 指定完成身份验证的Http cookie的名称

IILoginUrl: 如果未通过验证或超时后重定向的页面URL一般为登录页面让用户重新登录

IIIProtection: 指定 cookie数据的保护方式

可设置为: All None Encryption Validation四种保护方式

a All表示加密数据并进行有效性验证两种方式

b None表示不保护Cookie

c Encryption表示对Cookie内容进行加密

d validation表示对Cookie内容进行有效性验证

IV TimeOut: 指定Cookie的失效时间超时后要重新登录

在运行时对Webconfig文件的修改不需要重启服务就可以生效（注<processModel> 节例外）当然Webconfig文件是可以扩展的你可以自定义新配置参数并编写配置节处理程序以对它们进行处理

webconfig配置文件（默认的配置设置）以下所有的代码都应该位于

和

</systemweb>

</configuration>

之间出于学习的目的下面的示例都省略了这段XML标记

<authentication> 节

作用配置 ASPNET 身份验证支持（为WindowsFormsPassPortNone四种）该元素只能在计算机站点或应用程序级别声明< authentication> 元素必需与<authorization> 节配合使用

示例

以下示例为基于窗体（Forms）的身份验证配置站点当没有登陆的用户访问需要身份验证的网页网页自动跳转到登陆网页

</authentication>

其中元素loginUrl表示登陆网页的名称name表示Cookie名称

<authorization> 节

作用控制对 URL 资源的客户端访问（如允许匿名用户访问）此元素可以在任何级别（计算机站点应用程序子目录或页）上声明必需与<authentication> 节配合使用

示例以下示例禁止匿名用户的访问

</authorization>

注你可以使用useridentityname来获取已经过验证的当前的用户名可以使用webSecurityFormsAuthenticationRedirectFromLoginPage方法将已验证的用户重定向到用户刚才请求的页面具体的

<compilation>节

作用配置 ASPNET 使用的所有编译设置默认的debug属性为“True”在程序编译完成交付使用之后应将其设为False（Webconfig文件中有详细说明此处省略示例）

作用为 ASPNET 应用程序提供有关自定义错误信息的信息它不适用于 XML Web services 中发生的错误

示例当发生错误时将网页跳转到自定义的错误页面

</customErrors>

其中元素defaultRedirect表示自定义的错误网页的名称mode元素表示对不在本地 Web 服务器上运行的用户显示自定义(友好的)信息

<httpRuntime>节

作用配置 ASPNET HTTP 运行库设置该节可以在计算机站点应用程序和子目录级别声明

示例控制用户上传文件最大为M最长时间为秒最多请求数为

<pages>

作用标识特定于页的配置设置（如是否启用会话状态视图状态是否检测用户的输入等）<pages>可以在计算机站点应用程序和子目录级别声明

示例不检测用户在浏览器输入的内容中是否存在潜在的危险数据（注该项默认是检测如果你使用了不检测一要对用户的输入进行编码或验证)在从客户端回发页时将检查加密的视图状态以验证视图状态是否已在客户端被篡改(注该项默认是不验证）

作用为当前应用程序配置会话状态设置（如设置是否启用会话状态会话状态保存位置）

示例

</sessionState>

注

mode="InProc"表示在本地储存会话状态（你也可以选择储存在远程服务器或SAL服务器中或不启用会话状态）

cookieless="true"表示如果用户浏览器不支持Cookie时启用会话状态(默认为False）

timeout=""表示会话可以处于空闲状态的分钟数

<trace>

作用配置 ASPNET 跟蹤服务主要用来程序测试判断哪里出错

示例以下为Webconfig中的默认配置

注

enabled="false"表示不启用跟蹤

requestLimit=""表示指定在服务器上存储的跟蹤请求的数目

pageOutput="false"表示只能通过跟蹤实用工具访问跟蹤输出

traceMode="SortByTime"表示以处理跟蹤的顺序来显示跟蹤信息

localOnly="true" 表示跟蹤查看器 (traceaxd) 只用于宿主 Web 服务器

自定义Webconfig文件配置

自定义Webconfig文件配置节过程分为两步

在在配置文件顶部 <configSections> 和 </configSections>标记之间声明配置节的名称和处理该节中配置数据的 NET Framework 类的名称

是在 <configSections> 区域之后为声明的节做实际的配置设置

示例创建一个节存储数据库连接字符串

</configSections>

</appSettings>

</systemweb>

</configuration>

访问Webconfig文件你可以通过使用ConfigurationSettingsAppSettings 静态字符串集合来访问 Webconfig 文件示例获取上面例子中建立的连接字符串例如

protected static string Isdebug = ConfigurationSettingsAppSettings["debug"]

二webconfig中的session配置详解

打开某个应用程序的配置文件Webconfig后我们会发现以下这段

< sessionState

mode="InProc"

stateConnectionString="tcpip=:"

sqlConnectionString="data source=;Trusted_Connection=yes"

cookieless="false"

timeout=""

这一段就是配置应用程序是如何存储Session信息的了我们以下的各种操作主要是针对这一段配置展开让我们先看看这一段配置中所包含的内容的意思sessionState节点的语法是这样的

< sessionState mode="Off|InProc|StateServer|SQLServer"

cookieless="true|false"

timeout="number of minutes"

stateConnectionString="tcpip=server:port"

sqlConnectionString="sql connection string"

stateNetworkTimeout="number of seconds"

必须有的属性是属性选项描述

mode 设置将Session信息存储到哪里

Ø Off 设置为不使用Session功能

Ø InProc 设置为将Session存储在进程内就是ASP中的存储方式这是默认值

Ø StateServer 设置为将Session存储在独立的状态服务中

Ø SQLServer 设置将Session存储在SQL Server中

可选的属性是属性选项描述

Ø cookieless 设置客户端的Session信息存储到哪里

Ø ture 使用Cookieless模式

Ø false 使用Cookie模式这是默认值

Ø timeout 设置经过多少分钟后服务器自动放弃Session信息默认为分钟

stateConnectionString 设置将Session信息存储在状态服务中时使用的服务器名称和端口号例如"tcpip=:”当mode的值是StateServer是这个属性是必需的

sqlConnectionString 设置与SQL Server连接时的连接字符串例如"data source= localhost;Integrated Security=SSPI;Initial Catalog=northwind"当mode的值是 SQLServer时这个属性是必需的

stateNetworkTimeout 设置当使用StateServer模式存储Session状态时经过多少秒空闲后断开Web服务器与存储状态信息的服务器的TCP/IP连接的默认值是秒钟

ASPNET中客户端Session状态的存储

在我们上面的Session模型简介中大家可以发现Session状态应该存储在两个地方分别是客户端和服务器端客户端只负责保存相应网站的SessionID而其他的Session信息则保存在服务器端在ASP中客户端的SessionID实际是以Cookie的形式存储的如果用户在浏览器的设置中选择了禁用Cookie那末他也就无法享受Session的便利之处了甚至造成不能访问某些网站为了解决以上问题在 ASPNET中客户端的Session信息存储方式分为Cookie和Cookieless两种

ASPNET中默认状态下在客户端还是使用Cookie存储Session信息的如果我们想在客户端使用Cookieless的方式存储Session信息的方法如下

找到当前Web应用程序的根目录打开WebConfig文件找到如下段落

< sessionState

mode="InProc"

stateConnectionString="tcpip=:"

sqlConnectionString="data source=;Trusted_Connection=yes"

cookieless="false"

timeout=""

这段话中的cookieless="false"改为cookieless="true"这样客户端的Session信息就不再使用 Cookie存储了而是将其通过URL存储关闭当前的IE打开一个新IE重新访问刚才的Web应用程序就会看到类似下面的样子

其中http://localhost/MyTestApplication/(ulqsekheuicazgdl) /defaultaspx中黑体标出的就是客户端的Session ID注意这段信息是由IIS自动加上的不会影响以前正常的连接

ASPNET中服务器端Session状态的存储准备工作

为了您能更好的体验到实验现象您可以建立一个叫做SessionStateaspx的页面然后把以下这些代码添加到< body>< /body>中

< scriptrunat="server">

Sub Session_Add(sender As Object e As EventArgs)

Session("MySession") = textValue

spanInnerHtml = "Session data updated! < P>Your session contains: < font color=red>" & Session("MySession") ToString() & "< /font>"

End Sub

Sub CheckSession(sender As Object eAs EventArgs)

If (Session("MySession")Is Nothing) Then

spanInnerHtml = "NOTHING SESSION DATA LOST!"

Else

spanInnerHtml = "Your session contains: < font color= red>" & Session("MySession")ToString() & "< /font>"

End If

End Sub

< /script>

< formrunat="server"id="Form">

< inputid="text"type="text"runat="server"name="text">

< inputtype="submit"runat="server"OnServerClick="Session_Add"

value="Add to Session State " id="Submit"name="Submit">

< inputtype="submit"runat="server"OnServerClick="CheckSession"

value=" View Session State " id="Submit"name="Submit">

< /form>

< hrsize="">

< fontsize="">< spanid="span"runat="server" />< /font>

这个SessionStateaspx的页面可以用来测试在当前的服务器上是否丢失了Session信息

将服务器Session信息存储在进程中

让我们来回到Webconfig文件的刚才那段段落中

< sessionState

mode="InProc"

stateConnectionString="tcpip=:"

sqlConnectionString="data source=;Trusted_Connection=yes"

cookieless="false"

timeout=""

当mode的值是InProc时说明服务器正在使用这种模式

这种方式和以前ASP中的模式一样就是服务器将Session信息存储在IIS进程中当IIS关闭重起后这些信息都会丢失但是这种模式也有自己最大好处就是性能最高应为所有的Session信息都存储在了IIS的进程中所以IIS能够很快的访问到这些信息这种模式的性能比进程外存储Session信息或是在SQL Server中存储Session信息都要快上很多这种模式也是ASPNET的默认方式

好了现在让我们做个试验打开刚才的SessionStateaspx页面随便输入一些字符使其存储在Session中然后让我们让IIS重起注意并不是使当前的站点停止再开始而是在IIS中本机的机器名的节点上点击鼠标右键选择重新启动IIS(想当初使用NT时重新启动IIS必须要重新启动计算机才行微软真是@#$%^&)返回到SessionStateaspx页面中检查刚才的Session信息发现信息已经丢失了

将服务器Session信息存储在进程外

首先让我们来打开管理工具>服务找到名为ASPNET State Service的服务启动它实际上这个服务就是启动一个要保存Session信息的进程启动这个服务后你可以从Windows任务管理器>进程中看到一个名为 aspnet_stateexe的进程这个就是我们保存Session信息的进程

然后回到Webconfig文件中上述的段落中将mode的值改为StateServer保存文件后的重新打开一个IE打开 SessionStateaspx页面保存一些信息到Session中这时让我们重起IIS再回到SessionStateaspx页面中查看刚才的Session信息发现没有丢失

实际上这种将Session信息存储在进程外的方式不光指可以将信息存储在本机的进程外还可以将Session信息存储在其他的服务器的进程中这时不光需要将mode的值改为StateServer还需要在stateConnectionString中配置相应的参数例如你的计算你是你想把Session存储在IP为的计算机的进程中就需要设置成这样 stateConnectionString="tcpip=:"当然不要忘记在的计算机中装上NET Framework并且启动ASPNET State Services服务

将服务器Session信息存储在SQL Server中

首先还是让我们来做一些准备工作启动SQL Server和SQL Server代理服务在SQL Server中执行一个叫做 InstallSqlStatesql的脚本文件这个脚本文件将在SQL Server中创建一个用来专门存储Session信息的数据库及一个维护Session信息数据库的SQL Server代理作业我们可以在以下路径中找到那个文件

[system drive]winntMicrosoftNETFramework[version]

然后打开查询分析器连接到SQL Server服务器打开刚才的那个文件并且执行稍等片刻数据库及作业就建立好了这时你可以打开企业管理器看到新增了一个叫ASPState的数据库但是这个数据库中只是些存储过程没有用户表实际上Session信息是存储在了tempdb 数据库的ASPStateTempSessions表中的另外一个ASPStateTempApplications表存储了ASP中 Application对象信息这两个表也是刚才的那个脚本建立的另外查看管理>SQL Server代理>作业发现也多了一个叫做ASPState_Job_DeleteExpiredSessions的作业这个作业实际上就是每分钟去ASPStateTempSessions 表中删除过期的Session信息的

接着我们返回到Webconfig文件修改mode的值改为SQLServer注意还要同时修改sqlConnectionString的值格式为

sqlConnectionString="data source=localhost; Integrated Security=SSPI;"

其中data source是指SQL Server服务器的IP地址如果SQL Server与IIS是一台机子写就行了Integrated Security=SSPI的意思是使用Windows集成身份验证这样访问数据库将以ASPNET的身份进行通过如此配置能够获得比使用userid=sa;password=口令的SQL Server验证方式更好的安全性当然如果SQL Server运行于另一台计算机上你可能会需要通过Active Directory域的方式来维护两边验证的一致性