0

当用户使用类似的 URL 时,我试图拒绝访问我的网站

https://www.mywebsite.com/./somepage.aspx

现在,当我尝试 IIS7 上面的 url 时,它将服务:

https://www.mywebsite.com/somepage.aspx

我还在服务器上安装了 urlscan

AllowDotInPath=0

[DenyUrlSequences]

..  ; Don't allow directory traversals
./  ; Don't allow trailing dot on a directory name
\   ; Don't allow backslashes in URL
:   ; Don't allow alternate stream access
%   ; Don't allow escaping after normalization
&   ; Don't allow multiple CGI processes to run on a single request

但它仍然允许访问:(

我的测试方法是使用 curl:

curl -I https://www.mywebsite.com/./somepage.aspx

我究竟做错了什么?

提前感谢!

4

1 回答 1

0

将您的 web.config 设置为拒绝访问 somepage.aspx 的所有用户,然后只允许授权用户。这取决于您使用的是 Windows Active Directory 授权还是表单授权,但概念仍然相同。

关于如何设置 web.config,看这里

另一方面,为什么您的网址中有句点?是当前目录吗???

于 2012-07-18T13:36:51.243 回答