我试图保护我免受ASPX间谍攻击。
我在上传目录中的 web.config 中添加了配置:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
但是,我仍然可以运行aspx文件!
我错过了什么?
编辑:
web.config 部分仅授权 URL 而不授权文件执行。有关更多详细信息,请参阅此指向 MSDN 的链接
在configuration中尝试以下设置,这将阻止上传文件夹中任何类型的文件执行:
<location path="upload" allowOverride="false">
<system.webServer>
<handlers>
<clear />
<add
name="StaticFile"
path="*" verb="*"
modules="StaticFileModule,DefaultDocumentModule,DirectoryListingModule"
resourceType="Either"
requireAccess="Read" />
</handlers>
<staticContent>
<mimeMap fileExtension=".*" mimeType="application/octet-stream" />
</staticContent>
</system.webServer>