如何阻止用户在asp.net中查看文件系统?我是否需要在IIS设置或Web.config中更改某些内容?
感谢您的帮助和快速回答
答案 0 :(得分:1)
让我们从一个能够查看文件的远程用户必须知道浏览器的完整路径这一事实开始。
要防止您禁用目录浏览和/或每个目录上都有default.aspx页面。当有默认页面时,IIS会显示该页面。
现在第二个安全措施不是让运行您网站的asp.net应用程序用户访问除运行文件的站点之外的任何文件。
该网站在两个帐户下运行。一个用于IIS,一个用于池。这两个帐户必须只能访问您的站点目录,并且只能读取,并且只能写入应用程序所需的文件/目录。
另外,您可以在某些目录上使用web.config来阻止任何aspx页面的运行:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
但是这不是预见到未从asp.net传递的文件(如图像) 你也可以阅读 How to find out which account my ASP.NET code is running under?