最近、プロジェクトに Glimpse Debugger パッケージを追加しました。これにより、Glimpse dll への参照が追加され、一部の Web.Config が変更されました。
私は自分の開発環境と本番環境で自分のプロジェクトをできる限り同じように気に入っています。
では、Glimpse を本番サイトにデプロイするのは賢明ですか、それとも別のプロジェクトを作成 (または csproj ファイルからブランチを作成) してローカルにのみ保持する必要がありますか?
私が心配していることは次のとおりです。
Yarx はほぼすべての面で適切です。
セキュリティの観点から、説明されている方法を使用してパスをロックできます。唯一のことは、glimpse が使用する URL エンドポイントがもっとあるということです。そのため、ルールは次のようにする必要があります*Glimpse/*(* は、その前に何でも来て、後ろに何でも来てよいことを示しています)。これが配置されると、glimpse はかなりロックダウンされるはずです。
また、設定で Yarx が提供する変換を使用した場合、Cookie をオンにしても、glimpse は読み込まれません。
Glimpse 1.7 以降では、~/glimpse.axdすべてに対して同じポリシーを使用するという追加の利点を備えた、より一般的なセキュリティ保護方法があります。カスタム ポリシーがリソースに対しても呼び出されることを確認する必要があります。
public RuntimeEvent ExecuteOn
{
// The bit flag that signals to Glimpse that it should run on either event
get { return RuntimeEvent.Endrequest | RuntimeEvent.ExecuteResource; }
}
に注意して| RuntimeEvent.ExecuteResourceください。以下の下部を参照してください: Glimpse.axd を保護する方法.