我目前正在托管一个用VB编写的web应用程序。净4。该应用程序使用模拟,在web.config中存储用户名和密码。我的问题是,当冒充帐户被锁定(关闭网站)时,网站显示一个错误页面,其中有一个堆栈跟踪,以明文显示用户名和密码。
自定义错误信息被设置为关闭,所以我不确定为什么会发生这种情况。我没有加密这部分网页的选项。因为我们有一个复制到生产服务器的登台服务器,并且每个服务器上的加密密钥是不同的。
网页入口。正在显示的配置:
<identity impersonate="true" userName="testmyservice.account" password="123"/>
<machineKey validationKey="11111111" decryptionKey="222222222" validation="SHA1"/>
你说自定义错误模式是关闭的,这意味着你会看到web。配置输出。将自定义错误设置为true,指定错误页面,然后您应该看不到web。配置输出。
您可能应该加密配置的这一部分。
使用Protected Configuration加密配置信息
或者为您的站点创建一个单独的应用程序池,并设置应用程序池的标识。