在本地机器上,我在mvc4(razor)上创建了示例项目,并创建了名为“x”的目录,并在其中放入了一个文本文件“a.txt”。
http://localhost:64471/x/a.txt
在我的网络配置中,我拒绝所有用户通过此配置访问“x”文件夹:
<location path="x">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
现在,如果用户发送此请求:
http://localhost:64471/x/
它可以工作并将用户返回到web config中的forms标签中定义的URL。
但是当用户发送此请求时:
http://localhost:64471/x/a.txt
可以在浏览器中读取文本文件(浏览器显示文本文件的内容)。
我想知道如何拒绝用户访问“x”文件夹中的所有文件和子文件夹?
答案 0 :(得分:12)
我知道这是一个老问题,但如果您遇到问题并处理文本或html文件,您可能需要参考this stackoverflow问题。
简而言之,您可能需要将其添加到web.config:
<system.webServer>
<modules>
<remove name="UrlAuthorization" />
<add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" />
</modules>
</system.webServer>
正如kirk指出的那样,.txt和.html文件等文件由IIS而不是ASP.NET处理,因此授权规则不适用于它们。
答案 1 :(得分:6)
我在root web.config中使用path="x"进行了测试。它限制x文件夹下的所有内容;它甚至不会让我浏览〜/ x。我被重定向到登录页面。
你可以在root web.config中尝试像这样的完整路径吗?
<location path="x/a.txt">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</location>
如果仍然无效,您可以尝试使用以下内容在x文件夹中创建web.config。
<?xml version="1.0"?>
<configuration>
<location path="a.txt">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</location>
</configuration>