页面操作权限码的配置,检查后台管理员是否有相关操作码的权限。 <page url="contents/addcontenttonode.aspx" operateCode="CategoryInfoManage" checkType="or"/> operateCode 为操作码 根据操作码判断是否存在此操作的权限。 checkType 权限判断类型,or and or 操作码中的权限进行或运算,即有其中任何一种权限,就返回true 这个默认值是or 而且对于单一权限码的,可以不用配置 and 操作码中的权限进行与运算,即要求有全部权限才返回true 否则返回false. AjaxLabel.config 配置说明 是对AJAX.aspx 的文件访问权限控制配置文件。 由于前台AJAX标签过于强大,会致使AJAX标签 会出现一些危险性,对此我们做了一个XML安全文件来配置那些AJAX标签可以直接引用。这个AjaxLabel.config 文件是在 网站根目录的Config 目录下。如果标签没有记录,就会出现 本标签禁止访问! 例如: <label name="内容评论PK标签"> <param name="generalid" datatype="Int"></param> </label> 是指标签名 为 "内容评论PK标签" 的标签可以被ajas.aspx调用,而且参数param只能为"generalid",类型为Int,这样能有效防止恶意攻击。 如果用户需自定义标签,而且需要ajax.aspx 文件调用,那就在AjaxLabel.config 中配置 app_offlineX.htm 文件作用 如果你要COPY站点,进行站点维护,部署,和进行大量修改,有可能要停掉你的WEB应用程序了,而以一个友好的方式提示给用户,比如什么"本网站正在更新"等等的信息,你可以把文件app_offlineX.htm 改名为app_offline.htm(大小写没关系)的静态HTM页面文件,其中修改成你要临时显示的内容,将其放在你的应用的根目录下。这样,任何外部的请求的话,都会马上被转移到该页面了。 网站维护完成后记得将文件名app_offline.htm改回。 AllowString.xml 文件配置 文件位于Common目录下 文件的作用是:会员发表信息时启用防XSS(跨站攻击)设置时,让用户设置允许会员提交部份特殊js 代码。 XSS是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 例如: <AllowString><![CDATA[onmousewheel="return bbimg(this)"]]></AllowString> <AllowString><![CDATA[onload="resizepic(this)"]]></AllowString> 功能是: 允许保留onmousewheel="return bbimg(this)" 和onload="resizepic(this)" 代码。这是对FCK上传图片功能的一个保留。 如用户想让系统过滤不要太严格,可在这里加上相应保留代码。 |