允许对安全位置的 Javascript 文件进行 IIS 授权答案

【问题标题】：Allow IIS Authorization to Javascript files in secured location允许对安全位置的 Javascript 文件进行 IIS 授权
【发布时间】：2016-11-15 17:56:25
【问题描述】：

我正在使用 ASP.net Webforms 应用程序。我有一个由运行特定网络表单的 web.config 授权保护的文件夹。该网络表单引用了一个外部 Javascript 文件。目前该文件夹位于公共位置（即 /Content/Scripts），一切正常。

我希望能够将此文件移动到安全位置，以便只有获得批准的角色才能访问它。

我遇到的问题是，当我将它移动到安全文件夹并相应地调整引用时，.js 没有被正确引用。

我对安全文件夹的授权如下所示：

<authorization>
      <allow roles="secure_role1, secure_role2"/>      
      <deny users="*" />
</authorization>

虽然我目前作为已批准的角色之一（即“secure_role1”）登录，但我的应用程序仍然无法访问 .js 文件，除非我删除“拒绝用户”子句。我不能这样做，因为它会为其他角色的用户打开该安全位置以供抓取。

有什么建议吗？

【问题讨论】：

【解决方案1】：

您需要执行以下操作：

将安全/URL 授权角色添加到您的服务器或 IIS 中的功能。看： https://www.iis.net/configreference/system.webserver/security/authorization
启用 Windows 身份验证并禁用匿名身份验证？
在您的授权标签周围放置正确的标签？像这样：

<system.web>
    <authorization>
        <allow roles="secure_role1"/> 
        <deny users="*"/> 
    </authorization>
</system.web>

顺便说一句，我通常不会费心保护 JS 文件。它们不应包含任何特定于安全性的代码。您应该更担心保护您的服务器端代码免受没有正确角色的用户的影响。

【讨论】：