当用户使用
这样的网址时,我试图拒绝访问我的网站https://www.mywebsite.com/./somepage.aspx
现在,当我尝试IIS7上方的网址时,将提供服务:
https://www.mywebsite.com/somepage.aspx
我还在
服务器上安装了urlscanAllowDotInPath=0
[DenyUrlSequences]
.. ; Don't allow directory traversals
./ ; Don't allow trailing dot on a directory name
\ ; Don't allow backslashes in URL
: ; Don't allow alternate stream access
% ; Don't allow escaping after normalization
& ; Don't allow multiple CGI processes to run on a single request
但它仍允许访问:(
我的测试方法是使用curl:
curl -I https://www.mywebsite.com/./somepage.aspx
我做错了什么?
谢谢你的进步!
答案 0 :(得分:0)
将您的web.config设置为拒绝访问somepage.aspx的所有用户,然后仅允许授权用户。根据您使用的是Windows Active Directory授权还是表单授权,这样做会有所不同,但概念仍然相同。
关于如何设置web.config,look here
另一方面,为什么你的网址有一段时间?它是当前目录???