如何拒绝访问 IIS 中的特定目录。 在 Apache 中,我可以添加 .htaccess 文件:
Order allow,deny
Deny from all
到日志或缓存目录,任何人都不会看到该目录中的任何内容。
但是当我添加 Web.config 时:
<?xml version="1.0"?>
<configuration>
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</configuration>
它仅适用于由 asp 处理的文件,不适用于 log.txt。
我无法访问 IIS 服务器,我只能添加和更改文件。
提前感谢您的帮助。
【问题讨论】:
在 IIS6 中,当您打开文件夹属性时,您会看到一个标有“读取”的复选框。试着把它弄乱
【讨论】:
如果您无法访问 IIS,那么您至少可以访问文件系统吗?比如,你能设置文件夹的安全性吗?
如果是这样,请转到特定文件夹上的安全选项卡,并删除运行该站点的任何访客帐户的所有权限。
看到唯一的 .net 文件由 IIS 6 下的 .net 进程和安全模型处理(您已了解),我看不出您还能做什么。
另一种可能性 - 在您的应用程序中可能不起作用 - 您可以将所有需要权限的非 .net 文件移动到 /App_Data/ 文件夹中。 .Net 似乎只是进入管道并阻止这些文件被加载。您可以改为流式传输它们。
仅供参考 - 如果您确实有权访问 IIS,这是一篇关于如何限制对非 .net 文件的访问的好文章:
http://quickstarts.asp.net/QuickStartv20/aspnet/doc/tipstricks/default.aspx#securingnonaspnetcontent
【讨论】:
转到 IIS 管理器中的文件夹属性 -> 目录安全选项卡 -> 身份验证和访问控制。 取消选中“匿名访问”复选框并禁用以下所有身份验证方法。
没有像 htaccess 这样的基于文件的内置访问管理。这可以使用第三方 ISAPI 模块来实现,例如 Helicon Ape
【讨论】: