如何防止用户看到 asp.net 中的文件系统?我是否需要更改 IIS 设置或 Web.config 中的某些内容?
感谢您的帮助和快速答复
【问题讨论】:
让我们从能够看到文件的远程用户必须知道它在浏览器上的完整路径这一事实开始。
为了防止您禁用目录浏览和/或您在每个目录上都有一个 default.aspx 页面。当有默认页面时,IIS 会显示该页面。
现在第二个安全措施是不允许运行您站点的 asp.net 应用程序用户访问站点运行文件之外的任何文件。
该网站在两个帐户下运行。一个用于 IIS,一个用于池。这两个帐户都必须对您的站点目录具有有限的访问权限,并且只能读取和写入您的应用程序所需的文件/目录。
另外,您可以在某些目录上使用 web.config 来阻止任何 aspx 页面的运行:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
但这并不能阻止查看不是从 asp.net 传递的文件(如图像) 你也可以阅读 How to find out which account my ASP.NET code is running under?
【讨论】: