我们的asp mvc是使用octopus deploy自动发布的。我们使用Web配置转换,我们总是在安装文件夹中添加其他特定于环境的文件。例如
Web.development.config Web.test.config Web.preprod.config
部署这些文件略有优势,因为我们可以在排除故障时轻松比较不同环境之间的值。
将不同的配置文件部署到生产环境是否存在安全风险?
答案 0 :(得分:2)
IIS应配置为默认情况下阻止下载.config
个文件,但根据您的安全需求有多紧,可能值得删除它们。 (例如,如果某人包含测试服务器,则他们无法访问生产)。
如果你想摆脱它,你可以编写一个PostDeploy.ps1脚本来删除Web。*。config
答案 1 :(得分:0)
可以使用社区提供的步骤File System - Clean Configuration Transforms删除这些文件。
如果希望它们可用于诊断目的,请重新部署发行版,但请关闭此步骤。