ASP.NET 保护 Web 部件页

      Web 部件是 ASP.NET 的一项新功能，它赋予最终用户修改或个性化网页的能力。对于 Web 应用程序的用户来说，个性化网页具有强大的功能，但也带来开发人员应该了解的安全隐患。
由于 Web 部件是一种 ASP.NET 功能，而 Web 部件控件是扩展的 ASP.NET 服务器控件，因此，Web 部件页容易遭受所有与 ASP.NET 页相同的风险。具有使用 Web 部件控件的页的 Web 应用程序实际上不过是一种专用类型的 ASP.NET 应用程序，而使用 Web 部件的应用程序可以运行在普通 ASP.NET 应用程序可以运行的任何信任级别上。不过，Web 部件具有普通 ASP.NET 页所不具有的一些特殊的安全问题。以下几节对这些问题进行了探讨。
 
1、导入控件数据
最具安全风险的 Web 部件功能就是导入功能。该功能允许用户导入包含服务器控件（该控件的程序集文件在 Web 服务器上必须可用）的状态数据和属性数据的 XML 说明文件。为控件导入数据是用户共享数据以及轻松配置复杂控件的一种方法。但这种做法具有内在风险：说明文件中可能存在恶意数据。例如，如果有人将恶意脚本代码作为字符串属性的值放在说明文件中，则当用户导入说明文件并将引用的服务器控件添加到网页时，就有可能执行该脚本。若要使导入带有恶意数据的说明文件的风险降到最低，具有字符串类型属性的服务器控件应该始终对属性数据进行编码。其他风险包括通过说明文件导入的类型（请参见 Web 部件控件说明文件）。恶意用户可以通过提交请求将许多程序集加载到 AppDomain 中，导致大量内存被占用。若要消除与导入有关的风险，只需不使用实现导入的服务器控件以完全禁用导入功能即可。另外，也可以限制哪些用户可以访问该控件。例如，可以使用角色管理。如果用户为管理员角色，则可以以编程方式为此用户向该页添加 ImportCatalogPart。
 
2、导出控件数据
导出功能的风险与导入功能基本相同，这是因为它会泄漏敏感数据。导出功能可以帮助用户将特定控件的属性和状态数据保存到 XML 说明文件。（该文件就是可以使用导入功能导入的文件。）此处的主要风险在于用户可能会将敏感数据从应用程序导出到说明文件，而说明文件是一个简单的文本文件，具有适当权限的任何人都可以读取它。默认情况下，ASP.NET 中禁用导出功能，因此，如果不需要使用该功能，可以放心地忽略它。显然，这是最安全的选择。
如果确实需要启用导出功能，应该知道用于确定可导出哪些属性的选项。在创建将在 W