我们使用ASP.NET Core的“ MVC”,而不使用新的"Razor Pages"。
我知道默认情况下它们是从/Pages提供服务的,所以在运行时(!!),我在其中放了一些剃须刀页面以查看会发生什么-让我惊讶的是没有做任何进一步的事!
这对我们来说是主要的安全风险。在生产服务器上,某些恶意行为者可能会将剃须刀页面拖放到正确的目录中,然后造成相当大的破坏。
我以为他们可以被禁用,但是对此一无所获。
如何完全禁用“剃须刀页面”?
答案 0 :(得分:1)
@CodeCaster上面的评论说它们不能被禁用,所以我想到了一个解决方法-将目录更改为随机目录:
services
.AddMvc();
.WithRazorPagesRoot("/" + generateRandomString());
但这并不是万无一失的-它不会阻止某个决心破坏您的dll的人。
(如果可以将其禁用,请添加您的答案,我会接受的。)