如何防止用户看到 asp.net 中的文件系统?我是否需要更改 IIS 设置或 Web.config 中的某些内容?
感谢您的帮助和快速答复
问问题
296 次
1 回答
1
让我们从能够看到文件的远程用户必须知道它在浏览器上的完整路径这一事实开始。
为了防止您禁用目录浏览和/或您在每个目录上都有一个 default.aspx 页面。当有默认页面时,IIS 会显示该页面。
现在第二个安全措施是不允许运行您站点的 asp.net 应用程序用户访问站点运行文件之外的任何文件。
该站点在两个帐户下运行。一个用于 IIS,一个用于池。这两个帐户必须仅对您的站点目录具有有限的访问权限,并且只能读取和写入应用程序所需的文件/目录。
另外,您可以在某些目录上使用 web.config 来防止运行任何 aspx 页面:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
但这不会阻止查看不是从 asp.net 传递的文件(如图像)您还可以阅读 如何找出我的 ASP.NET 代码在哪个帐户下运行?
于 2013-04-26T07:24:43.467 回答