App_Data - Web应用程序的数据目录。它有多安全?

时间:2009-02-11 17:43:44

标签: asp.net security

在msdn文档的许多地方,您可以找到对App_Data目录的引用。例如here我们可以阅读:

  

要在ASP.NET应用程序中使用本地数据文件时提高安全性,应将数据文件存储在App_Data目录中。

  

存储在App_Data目录中的文件   不会被送到网上。

我找不到直接引用来指定如何保​​证安全性。是否有任何IIS设置等我应该注意,以确保我们放在App_Data目录中的文件突然不会对所有人开放。

2 个答案:

答案 0 :(得分:12)

文件受禁用文件处理程序保护。只要一切都在运行,这是安全的。 ASP.NET处理程序可能会出现故障,只留下IIS运行。在这些情况下,您的web.config文件和aspx文件将作为直接文本文件提供。

如果您的数据不是非常敏感,那么它是存储数据的好地方。如果您有高度敏感的数据,请将其存储在另一台计算机上。

编辑:更多信息 您可以在此处阅读有关禁止文件处理程序的更多信息http://msdn.microsoft.com/en-us/library/bya7fh0a.aspx。向下滚动您会注意到mdfs的“root web.config”文件中有一个条目。您通常可以在您的计算机上找到此文件:C:\ Windows \ Microsoft.NET \ Framework \ v2.0.50727 \ CONFIG

我找不到太多关于在保持iis运行的情况下关闭asp.net的信息,但是如果你在搜索“要求下载aspx”之类的条款或类似的东西,你可以找到有问题的人的报告(通常asp.net没有正确配置)这将允许利用发生。我没有看到它发生太多,但它是可能的。

答案 1 :(得分:0)

在我的脑海中,我认为它们的保护方式与.config文件相同。 这基本上意味着,这些项的ASP.NET处理程序返回“此类页面未提供服务”消息。“它可能会返回404错误。 最安全的方法是不在那里存储数据库。