如果名为page.pagex的应用程序名为internal only page.ashx,是否存在安全风险,黑客可以断定是否会调用另一个页面。
我不希望任何人访问此页面。我知道它看起来很愚蠢,但它是更复杂问题的一部分。
感谢
答案 0 :(得分:2)
“我不希望任何人访问此页面。”
要归档您需要检查您的用户是否在此页面内进行了身份验证,或者此页面位于经过身份验证的用户可以看到的目录中。
重定向可以被阅读 - 所以如果你有一些其他页面重定向到你说的那个,这是可见的。
然而,服务器传输无法读取及其内部,但我不知道这是否可以帮助您的情况。
答案 1 :(得分:1)
默认情况下,可以像访问aspx页面一样访问ashx处理程序 目前还不清楚“内部”是什么意思。如果在服务器端进行调用,则可以通过删除IIS上的权限来隐藏文件。但是,这可能表明您根本不需要处理程序,并且可能直接调用该函数。 如果客户端需要访问它(例如,如果它返回脚本或图像),则无法阻止直接访问它。
答案 2 :(得分:0)
如果您正在寻找安全照明,可以使用难以猜测的文件或文件夹名称对网址进行模糊处理,然后使用Aristos建议的服务器传输。
如果您正在寻找更高级的安全性,那么实现一个Web服务而不是ashx,它需要使用应用程序凭据从调用代码进行身份验证(应用程序具有用户没有的东西,以便用户不能直接致电服务。)