我正在运行IIS 7和ASP.NET 4.这是一个在线图表应用程序,其中一个文件夹需要具有读/写访问权限。用户不直接将任何内容上传到此文件夹中;相反,他们配置图表设置,然后ASP.NET在服务器上生成图表并将其作为图像保存到该读/写文件夹中。用户被重定向以从该文件夹下载图表的图像。
为了允许IIS / ASP.NET将图像保存到文件夹中,我向IIS AppPool / ChartApp帐户授予WRITE权限。
但是,我担心在对HTTP开放的文件夹上有写访问权限。虽然没有直接的方法将文件通过我的网站上传到该文件夹,但我担心黑客会找到一种方法来上传脚本然后执行它。这些有效的顾虑吗?我还需要做些什么来保护这样的读/写文件夹吗?
感谢。
答案 0 :(得分:0)
配置合理且标准设置正常。正如您所指出的,除非您添加文件,否则无法上传文件。
如果您对此特别偏执,可以设置新的用户帐户并将该帐户用作“匿名用户”帐户(这是您网站上常见浏览用户使用的凭据),并确保该帐户不会在AppPool帐户执行时有写入权限。匿名用户默认使用AppPool标识。
What are all the user accounts for IIS/ASP.NET and how do they differ?详细介绍了每种不同的帐户类型。
答案 1 :(得分:0)
我最终做的是使用其他帐户来编写文件。来自this article的代码非常适用于版税。写入文件的帐户具有写入权限,“主”AppPool帐户仍然是只读的。