Web.config安全配置方案

<?xml version="1.0"?>
<!-- 
    注意: 除了手动编辑此文件以外,您还可以使用 
    Web 管理工具来配置应用程序的设置。可以使用 Visual Studio 中的
     “网站”->“Asp.Net 配置”选项。
    设置和注释的完整列表在 
    machine.config.comments 中,该文件通常位于 
    \Windows\Microsoft.Net\Framework\v2.x\Config 中
-->
<configuration>
  <appSettings>
    <add key="con" value="server=.;database=3xshop_admin;uid=sa;pwd=xxxxxxxx;"/>
  </appSettings>
  <connectionStrings/>
  <system.web>
    <!--只在开发过程中将此值设置为true。-->
    <compilation debug="true"/>    <!--Forms使用cookies验证-->
    <authentication mode="Forms">
      <forms name="3xcookies" loginUrl="login.aspx" path="/" protection="All" timeout="60"></forms>
    </authentication>
    <authorization>
      <!--deny禁止匿名用户登陆-->
      <!--allow允许匿名用户登陆-->
      <allow users="*"/>
    </authorization>    <!--web服务器错误处理-->
    <customErrors defaultRedirect="err/err.aspx" mode="On">
      <!--对特定错误进行特殊处理-->
      <!--<error statusCode="错误编码如:404,可以在iis中查找" redirect="友好的自定义url"/>-->
    </customErrors>
  </system.web>
  
  <!--限制受保护页面或目录的访问-->
  <location path="user/aaa.aspx">
    <system.web>
      <authorization>
      <!--deny users="?"禁止匿名用户登陆-->
      <!--allow users="*"允许所有用户登陆-->
      <deny users="?"/>
      </authorization>
    </system.web>
  </location>
  
  
</configuration>