2

ApplicationHost.config 上下文

<!-- App Pool -->
<add name="Site - Intranet" autoStart="true" managedRuntimeVersion="v4.0" />
<add name="App - App1" autoStart="true" managedRuntimeVersion="v4.0" />
<add name="App - App2" autoStart="true" managedRuntimeVersion="v2.0" />

<!-- Site -->
<site name="Intranet" id="1" serverAutoStart="true">
    <application path="/" applicationPool="Site - Intranet">
        <virtualDirectory path="/" physicalPath="D:\Web\Sites\Intranet" />
    </application>
    <application path="/Apps/App1" applicationPool="Application - App1">
        <virtualDirectory path="/" physicalPath="D:\Web\Apps\App1" />
    </application>
    <application path="/Apps/App2" applicationPool="Application - App2">
        <virtualDirectory path="/" physicalPath="D:\Web\Apps\App2" />
    </application>
</site>

如您所见,我有一个拥有自己的 4.0 CLR 应用程序池和身份的站点,它托管两个独立的应用程序,每个应用程序都有自己的应用程序池和身份。这三个都被沙箱化到单独的文件系统位置。

AppPoolIdentity 帐户的 NTFS 权限

必须授予每个 AppPoolIdentity 对其各自文件夹的权限(例如,IIS AppPool\Site - Intranet需要对 的读取/执行权限D:\Web\Sites\Intranet)。

此时,应用程序 App1 应该无法读取/执行其父站点的物理文件夹结构中的文件。反之亦然,托管站点 Intranet 不应该能够读取/执行 App1 的物理文件夹结构中的文件。我理解对了吗?

当我访问子应用程序(例如)时,我收到一个服务器错误,指出由于权限不足http://intranet/apps/app1,它无法读取父站点的文件。web.config

如果我授予应用程序的身份帐户对父站点的物理文件夹结构的读取/执行权限(例如IIS AppPool\App - App1访问D:\Web\Sites\Intranet),问题就解决了。

问题)

  1. 为什么子应用程序需要web.config从父站点读取或任何其他文件?

    注意:我的父站点的 web.config 已经使用该<location path="." inheritInChildApplications="false">技术破坏了子 app/vdir 继承。

  2. 鉴于此身份帐户本质上对许多文件夹具有写入权限 - IIS AppPoolIdentity 和文件系统写入访问权限- 这不会带来安全风险吗?例如,现在不能有任何子应用程序写入父站点的 App_Data 文件夹或其他地方吗?

4

1 回答 1

0

对于 #1,子文件夹/应用程序默认继承其父文件夹的 web.config 设置。我假设 ASP.NET 在尝试访问那些父 web.config 文件之前不会检查您的元素。对我来说很有意义,尽管这不是您想要的。

对于#2,不太确定。如果您的应用程序池身份是用户的成员(正如您的参考答案所述),那么它确实具有对很多地方的读取权限,但不能写入太多地方。我不会按照提问者那里所说的去做。不确定孩子是否会写入父文件夹。您应该能够使用适当的文件系统权限来阻止它(记住您的应用程序池身份所属的任何组)。我从来没有这个配置,所以我不确定。

于 2013-01-16T23:51:31.757 回答