我在IIS7上运行了一个ASP.Net网站。开发人员在\ admin文件夹中创建了一个CMS,允许网站管理员创建/编辑/删除页面。
他们说:
“应该向需要登录访问管理面板的用户提供读/写权限,而不是对网站具有一般公共访问权限的匿名用户。写入权限的原因是允许管理员成为能够通过CMS上传图像和文件,并对导航,样式表等进行各种更改“。
另外,他们说:
“密码保护/ admin文件夹并为管理员用户分配完全权限,因为它需要相应地更新数据(站点文件),如上面的文件夹级别部分所述。对于某些模块工作,例如文件管理器,您需要在目录安全级别使用基本身份验证.FCKeditor文件夹也应受到保护,以便它具有正确的权限。“
这种方法安全吗?我已经尝试为Plesk保护文件夹用户分配完整权限(\ admin文件夹通过Plesk保护),但Plesk不断恢复其默认设置。我被告知这是一项安全措施,这是有道理的。
如果不重写任何代码,另一种实现此目的的方法是什么?
答案 0 :(得分:1)
如果应用程序需要上传的能力,那么它将始终需要对要上传到的目录的读/写权限 - 没有任何重写会改变这一点,它是基本功能的一部分。这同样适用于编辑样式表等。
恢复您所做的更改听起来像是一个非常糟糕的安全措施 - 警告您没问题,但通常您会出于某种原因进行这些更改并希望它们保留。
答案 1 :(得分:1)
干草试试这个......