-1

现在我有一个网站,并在 IIS & ASP.NET 4.0 上运行它。

但现在该网站存在一些安全问题。“漏洞:已启用 ASP.NET 调试方法”

所以我想让我的网站只接受 GET 和 POST 请求。

而且我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“.qs”的请求端就会执行这个规则。下面是 web.config 中的控件。
<add name="MvcHttpHandler" verb="GET,POST" path="*.qs" type="Suryani.Web.Mvc.MvcHttpHandler" />

但是我的网站还有一部分WEBFORM,以“.aspx”结尾。我不知道如何设置 IIS 或 web.config 以使“.aspx”只允许 GET 和 POST。

任何见解/建议/参考将不胜感激

4

2 回答 2

0

利用...

[HttpPost] or [HttpGet]

在您的控制器方法上

例如...

    [HttpGet]
    public JsonResult MyMethod(int ID)
    {
        try
        {
            return Json(SomeMethod(ID), JsonRequestBehavior.AllowGet);
        }
        catch (Exception e)
        {
            _log.Error(e.Message, e);
            return Json(false, JsonRequestBehavior.AllowGet);
        }
    }
于 2013-06-10T10:15:06.790 回答
0

但现在它存在一些安全问题。

谁说的?

“漏洞:已启用 ASP.NET 调试方法”

在网上搜索“ASP.NET 禁用调试”可以帮助您访问漏洞数据库等页面 | Rapid7不要在启用 debug=”true” 的情况下运行生产 ASP.NET 应用程序 - ScottGu 的博客等。

而且我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“.qs”的请求端就会执行这个规则。

什么?

但是我的网站还有一部分WEBFORM,以“.aspx”结尾。我不知道如何设置 IIS 或 web.config 以使“.aspx”只允许 GET 和 POST。

配置您的处理程序

于 2013-06-10T10:16:25.687 回答