在.net mvc项目web.config中配置后缀名拒绝访问

已被阅读 872 次 | 文章分类:csharp | 2021-11-24 23:46

配置后缀名拒绝访问后,站点中的文件内容是不会被通过路径访问下载的,一定程度提高了安全性

1 正常情况如下

新建一个.net mvc项目,在content下放几个测试文件,如下

/net/upload/image/20211124/7c16dd0c-260a-4157-b717-79f189cf81ea.png

用iis express启动后,通过路径访问会直接将文件下载

/net/upload/image/20211124/25fbdf91-dc3b-4051-99c8-207158e77975.png

2 配置web.config中的请求筛选模块

在configuration节点下配置如下:

                                            
<system.webServer>
	<security>
		<requestFiltering>
			<fileExtensions>
				<add fileExtension=".zip" allowed="false" />
				<add fileExtension=".ppt" allowed="false" />
				<add fileExtension=".pptx" allowed="false" />
				<add fileExtension=".doc" allowed="false" />
				<add fileExtension=".docx" allowed="false" />
				<add fileExtension=".xls" allowed="false" />
				<add fileExtension=".xlsx" allowed="false" />
			</fileExtensions>
		</requestFiltering>
	</security>
</system.webServer>

再次访问资源地址,发现被禁止访问

/net/upload/image/20211124/d5b2617c-170b-477e-841a-03f2d9dce354.png

这样通过配置webserver节点,就可以禁止对指定类型资源文件的直接下载和访问

3 相关节点认识

配置请求筛选模块用到了几个节点,这里提供官方地址,可以看到详细的父子节点配置信息

web服务器节点:system.webServer

安全节点:security

请求过滤节点:requestFiltering

文件扩展名节点:fileExtensions

浏览热榜:

QQ:3410192267 | 技术支持 微信:popstarqqsmall

Copyright ©2017 xiaobaigis.com . 版权所有 鲁ICP备17027716号