比如有一个网站,https://testsystem.infotest.com
在这个网站的内容文件目录下面,有一个scripts文件夹,该文件夹中有一个js文件,比如lukeTest.js文件
这样,我发现在浏览器中,输入 https://testsystem.infotest.com/scripts/lukeTest.js 可以直接在浏览器中浏览此js文件的内容
这个显然是不对的,因为容易给恶意攻击者找到js的漏洞进行攻击
那么,如何让在web browser中直接输入这个地址,不显示该js文件内容呢
我发现可以这样设置,
在IIS中,先选中此网站,在右边,会有一个Request Filtering (请求筛选), 双击打开,可以发现有一系列的文件扩展名是不允许的。在其中加入.js就可以了
现在发现这种方式有误,不行,这种方式会使web browser彻底禁用网站中的javascript文件,导致网站无法正常运行。