Comment limiter les autorisations ASP.NET par page ou par répertoire (sécurité d'accès au code par page ou par répertoire)

Question

Voici le scénario:

-Hosted web application.

-Le niveau de confiance de l'application est de confiance totale, en raison de composants externes.

-Le client doit pouvoir personnaliser certaines pages Web. J'ai pensé à utiliser un modèle HTML qu'ils peuvent modifier. Mais ce n'est pas assez flexible. Par exemple, s'il y a de la logique, les choses deviennent compliquées et difficiles: si l'utilisateur est connecté de cette façon, si nous sommes dans cette page, rendons cette partie différemment, etc, etc. Je finis par créer un nouveau langage de script. J'aime ça.

Je voudrais utiliser une page aspx qu'ils peuvent modifier. Le problème est qu'ils peuvent écrire un code dans la page ASPX, accéder au système de fichiers, etc.

Questions:

-Y at-il une manière ASP.NET pour limiter certaines autorisations de page d'annuaire ou sur le Web (c.-à- sécurité d'accès au code par page ou par répertoire)?

-Autres suggestions pour l'implémentation de pages Web personnalisables sécurisées?

Answer 1

Ne faites pas cela.

Peu importe ce que vous faites, il y aura des problèmes de sécurité. Donnez-leur seulement un modèle, et vous le traitez vous-même. En ce qui me concerne, un balisage wiki comme Markdown est tout à fait acceptable.