Note:此处不是权限设置问题,此处不是权限设置问题,此处不是权限设置问题!只是出于数据或者网络安全,禁止扫描工具直接扫描到某些包含敏感信息的文件,尤其比如日志、配置等
默认ASP.NET已经考虑到了一些安全问题,比如.config后缀的配置文件,比如.cs的源代码文件,比如.log的日志文件,这些默认都是 全局设置,但还有些NET没帮我们设置,比如.xml后缀,比如.txt后缀,这些文件里面往往也可能包含着关键信息,这时候我们可以通过IIS进行设置
打开IIS,选中你的项目,然后在右侧的功能视图界面找到 请求筛选 部分,如下图
双击它,可以打开如下界面
可以看到有很多进行访问设置的配置,而我们一般常用的就两样,一个就是 文件扩展名 设置,还有一个就是隐藏段 设置,以xml为例,如果要禁止可以被浏览器访问,那么可以通过在 文件扩展名 设置界面右键添加被拒绝的文件扩展名,如下图
当然通过设置文件扩展名的方式会导致整个站点下的所有对应类型文件都被禁止访问,如果你只是希望某些文件被禁止访问,那么你可以通过 隐藏段 设置,该设置是设置某个目录下的文件禁止被访问,注意这里只能设置站点下的根目录或者根文件,如下图
当这些配置做完之后,你在浏览器里进行访问时,就会得到40X提示,被设置过的文件已经被禁止访问了
这时候我们反过来看下站点里面的web.config,可以看到里面被自动添加了一些节点,所以如果有需要,你也可以直接在项目里面输入这些设置,无需通过IIS来进行配置,最终结果都是一样的
本文转自:http://blog.csdn.net/starfd/article/details/50129921