【发布时间】:2010-01-17 23:16:58
【问题描述】:
如何防止用户获取我网站中存在的文件列表?
例如,当用户在地址栏上键入 WebsiteAddress+/DirectoryToSearch/ 时,他们会得到该目录中的文件列表,而不会出现任何权限被拒绝错误
我在 asp.net 中是否缺少任何设置?
【问题讨论】:
标签: asp.net security iis custom-pages
【发布时间】:2010-01-17 23:16:58
【问题描述】:
您应该在 IIS 中禁用目录浏览。
对于 IIS7:http://technet.microsoft.com/en-us/library/cc731109%28WS.10%29.aspx
对于 IIS6:在 IIS 管理器中打开网站的属性,然后在“主目录”选项卡下,取消选中标有“目录浏览”的复选框。
【讨论】:
-
我刚做了,它很震撼!但是为什么默认设置是ON?只是好奇
-
@strakastroukas - 通常默认是禁用的,你可能在 IIS 管理器中创建站点时点击错误,我知道我以前做过!
-
不!这个粘贴在 IIS 工具中。注意: - 默认设置为开启 - 整个站点将继承此设置 我应该联系托管公司还是什么?