现在我有一个网站,并在 IIS & ASP.NET 4.0 上运行它。
但现在该网站存在一些安全问题。“漏洞:已启用 ASP.NET 调试方法”
所以我想让我的网站只接受 GET 和 POST 请求。
而且我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“.qs”的请求端就会执行这个规则。下面是 web.config 中的控件。
<add name="MvcHttpHandler" verb="GET,POST" path="*.qs" type="Suryani.Web.Mvc.MvcHttpHandler" />
但是我的网站还有一部分WEBFORM,以“.aspx”结尾。我不知道如何设置 IIS 或 web.config 以使“.aspx”只允许 GET 和 POST。
任何见解/建议/参考将不胜感激
利用...
[HttpPost] or [HttpGet]
在您的控制器方法上
例如...
[HttpGet]
public JsonResult MyMethod(int ID)
{
try
{
return Json(SomeMethod(ID), JsonRequestBehavior.AllowGet);
}
catch (Exception e)
{
_log.Error(e.Message, e);
return Json(false, JsonRequestBehavior.AllowGet);
}
}
但现在它存在一些安全问题。
谁说的?
“漏洞:已启用 ASP.NET 调试方法”
在网上搜索“ASP.NET 禁用调试”可以帮助您访问漏洞数据库等页面 | Rapid7,不要在启用 debug=”true” 的情况下运行生产 ASP.NET 应用程序 - ScottGu 的博客等。
而且我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“.qs”的请求端就会执行这个规则。
什么?
但是我的网站还有一部分WEBFORM,以“.aspx”结尾。我不知道如何设置 IIS 或 web.config 以使“.aspx”只允许 GET 和 POST。