5

我正在运行 IIS 7 和 ASP.NET 4。它是一个在线图表应用程序,其中一个文件夹需要具有读/写访问权限。用户不会直接将任何内容上传到此文件夹中;相反,他们配置图表设置,然后 ASP.NET 在服务器上生成图表并将其作为图像保存到该读/写文件夹中。用户被重定向以从该文件夹下载图表的图像。

为了允许 IIS/ASP.NET 将图像保存到文件夹中,我将 WRITE 权限授予 IIS AppPool/ChartApp 帐户。

但是,我担心对 HTTP 开放的文件夹具有写入权限。虽然没有通过我的站点将文件上传到该文件夹​​的直接方法,但我担心黑客会找到上传脚本然后执行它的方法。这些是有效的担忧吗?我还需要做些什么来保护这样的读/写文件夹吗?

谢谢。

4

2 回答 2

0

配置是健全的和正常的标准设置。正如您所指出的,除非您添加文件,否则无法上传文件。

如果您对此特别偏执,您可以设置一个新用户帐户并将该帐户用作“匿名用户”帐户(这是您网站上的普通浏览用户使用的凭据),并确保该帐户没有 write AppPool 帐户可以访问。匿名用户默认使用 AppPool 身份。

IIS/ASP.NET 的所有用户帐户是什么?它们有何不同?具有每种不同帐户类型的详细信息。

于 2012-11-29T00:29:19.967 回答
0

我最终做的是使用不同的帐户来写入文件。本文中的代码非常适合模拟。写入文件的帐户具有写入权限,“主”AppPool 帐户仍然是只读的。

于 2012-12-08T19:52:48.390 回答