我们希望在我们的组织中首次使用无扩展URL。我们已经要求我们的系统管理员向IIS6添加通配符映射,以便通过asp.net处理所有请求。他们正在推动安全问题。我没有关于通配符映射的潜在安全问题的足够信息,以了解它可能会或可能不会创建哪些安全问题。对于任何反馈,我们都表示感谢。
答案 0 :(得分:2)
基本上,通过向IIS6添加通配符映射,然后将通过.net框架处理所有请求。我不确定安全问题,但知道性能劣势从未成为普罗旺斯
请参阅link text
答案 1 :(得分:1)
我怀疑,大问题是大多数管理员都担心他们不理解。他们浏览IIS,但整个ASP.NET管道都是外来的。让他们记录他们的顾虑,然后你可以逐个拍摄。
通配符映射存在一个非常合理的性能问题,但可以通过将非安全静态文件推送到另一个虚拟站点(甚至是站点中没有映射的单独映射的虚拟目录)来轻松解决。
答案 2 :(得分:-1)
只有可能的安全问题来自增加的攻击面,导致攻击者现在可以攻击.NET框架而不仅仅是IIS。但这与您在服务器上安装任何监听应用程序的风险相同。
我认为误解是他们认为这种绑定会使任何东西以.NET运行,但事实并非如此。它只是让.NET处理它的交付。只有当它被配置为通过web.config中的HttpModule设置执行时,它才会实际运行除默认绑定之外的任何文件中的代码(无论如何,它都是在你放入通配符之前挂钩的。)
性能是一个合理的问题,但我不认为安全隐患是一个大问题。
答案 3 :(得分:-3)
潜在的问题是,您现在可以允许在服务器上执行扩展请求,例如.exe,并且在将请求交给ISAPI之前不会被IIS过滤掉。
如果IIS路径中的任何位置有任何.exe,bat或其他可执行文件,则任何用户都可以执行它们。
如果您在设置IIS网站和虚拟目录时要小心,因此它们不包含任何可能被恶意使用的内容,那么您应该没问题。