只接受get&后动词

时间:2013-06-10 10:07:16

标签: asp.net security iis

现在我有一个网站,并在IIS& ASP.NET 4.0。

但现在该网站存在一些安全问题。 “漏洞:启用了ASP.NET DEBUG方法”

所以我想让我的网站只接受GET& POST请求。

我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“。qs”的请求结束将实现这个规则。下面是web.config中的控件。
<add name="MvcHttpHandler" verb="GET,POST" path="*.qs" type="Suryani.Web.Mvc.MvcHttpHandler" />

但是我的网站仍然是WEBFORM的一部分,以“.aspx”结尾。我不知道如何设置IIS或web.config以使“.aspx”只允许GET&amp; POST。

任何见解/建议/参考将不胜感激

2 个答案:

答案 0 :(得分:0)

使用...

[HttpPost] or [HttpGet]

控制器方法

例如......

    [HttpGet]
    public JsonResult MyMethod(int ID)
    {
        try
        {
            return Json(SomeMethod(ID), JsonRequestBehavior.AllowGet);
        }
        catch (Exception e)
        {
            _log.Error(e.Message, e);
            return Json(false, JsonRequestBehavior.AllowGet);
        }
    }

答案 1 :(得分:0)

  

但现在它存在一些安全问题。

说谁?

  

“漏洞:启用ASP.NET DEBUG方法”

在网页上搜索“ASP.NET禁用调试”可以帮助您访问Vulnerability Database | Rapid7Don’t run production ASP.NET Applications with debug=”true” enabled - ScottGu's Blog等网页。

  

我自己有一个MVCHandler,所以如果我改变MVCHandler的动词,“。qs”的请求结束将实现这个规则。

什么?

  

但是我的网站仍然是WEBFORM的一部分,以“.aspx”结尾。我不知道如何设置IIS或web.config以使“.aspx”只允许GET&amp; POST。

Configure your handlers