我的 ASP.NET 站点上有几个文件仅供应用程序使用。目前,只需使用 URL 即可在浏览器中查看它们。有没有办法在不实际移动文件的情况下防止这种情况发生,或者我是否需要将文件移动到不同的目录,例如_private?
AskOverflow.Dev
如果你能够在服务器上安装软件,你可以安装微软的 URLScan for IIS 来限制 IIS 服务的文件。然而,这将适用于整个服务器,而不仅仅是应用程序。
您还应该能够使用 web.config 文件在站点的基础上执行此操作,详细信息在此处,它们适用于 IIS 5 和 .net 1.1,但主体是相同的。
使用 IIS 管理器通过导航到文件,右键单击它,然后从读取复选框中删除选中来单独阻止它们。
或者
使用 IIS 管理器为文件类型创建规则(请参阅此网页:support.microsoft.com/kb/815152)
仅供内部使用的配置和数据文件应放在 App_Data 文件夹中:
App_Data 文件夹
为了提高 ASP.NET 应用程序使用的数据的安全性,为 ASP.NET 应用程序添加了一个名为 App_Data 的新子文件夹。存储在 App_Data 文件夹中的文件不会响应直接 HTTP 请求而返回,这使得 App_Data 文件夹成为与应用程序一起存储的数据的推荐位置,包括 .mdf(SQL Server Express Edition)、.mdb(Microsoft Access)或 XML文件。请注意,当使用 App_Data 文件夹存储您的应用程序数据时,您的应用程序的身份对 App_Data 文件夹具有读写权限。
ASP.NET 数据访问中的新增功能