ASP.NET Web.config 问题

Question

服务器是 IIS7。

有没有办法禁用子文件夹中的 web.config 文件？

我问是因为，我在网络服务器上有一个用于上传的文件夹。当有人上传文件时，会为用户的会话创建一个新文件夹，他们上传的文件会放在该文件夹中。

所以上传的路径是这样的： ~/uploads/3F2504E0-4F89-11D3-9A0C-0305E82C3301/somefile.txt

在 ~/uploads/ 目录中有一个 web.config 文件，它删除了除静态文件处理程序之外的所有 http 处理程序并添加了通配符 mime 类型。因此，用户上传的每个文件都只会被静态地提供。

如果用户上传 web.config 文件，我想禁止应用该文件中的任何设置。

我该怎么做？

编辑

我能否将上传文件夹设为应用程序池的成员，该应用程序配置为以经典模式而不是集成管道模式运行？这样它甚至不会关心 web.config 文件。

编辑 2

我可以安装另一种类型的网络服务器来静态提供所有文件吗？我可以通过不同的端口访问文件。是否有一些软件我可以确定不会运行任何脚本并且是安全的。

Answer 1

我根本不允许他们上传具有该名称的文件。事实上，我通常不会相信用户给我的任何文件名......这很适合进行注入式攻击。

Answer 2

好吧，我对此有不同的看法......

如果您的上传文件夹不是网站的一部分，而是文件系统的一部分，该怎么办？这样 ASP.NET 不会处理对文件夹的请求，因此 ASP.NET 运行时不会加载 web.config。

您必须为您的应用程序池的帐户授予对存储这些文件的文件系统的读/写访问权限，但我认为它更适合您想要完成的任务。

Answer 3

显然它可以在代码中完成。

如果文件夹始终存在，您可以使用没有（重要）内容和 ACL 的 web.config 预填充以确保它不会被覆盖，但查看路径我怀疑您动态创建上传文件夹表示这行不通。

Answer 4

我不相信有办法告诉 IIS 不要使用 web.config（但我可能是错的）。就个人而言，我会在我的保存代码中添加一个检查并重命名文件。

Answer 5

为什么不先检查文件名以防止用户上传名为 web.config 的文件？在允许上传之前，您可能还需要检查其他内容 - 文件太大等。