Hvad skal jeg skrive i web.config for at forhinde alt form for eksekvering på serveren.
Hej.
Hvis jeg har nogen mapper hvortil brugere kan uploade filer, så er jeg selvsagt ikke interessert i at de skal kunne uploade en aspx fil, en php, eller asp eller hvad der kunne være, og derefter besøge den og dermed udføre deres egen kode på min server.
Jeg har allerede sikret imod dette, ved at brugerne kun kan uploade billeder. Men jeg er interesseret i at dobbelt sikre, for det tilfælde at det med billeder kan omgåes.
Kan jeg ikke skrive noget i web.config i en mappe så for denne mappe og alle undermappe, er det helt umuligt at eksekvere noget.
"Vil helst undgå for mange virktuelle mapper." - det kræver vel bare een. Så kan du sætte den til ikke at eksekvere noget som helst.
Tænk også på at en ASP.NET application vil genstarte, og måske smide folks sessioner, hvis der ændres filer i applikationen. Det vil ikke ske, hvis du lægger filer i en anden virtuel mappe. (Jeg ved faktisk ikke om man kan slå den restart fra)
Jeg kender godt problemet med restart (Det sker dog ikke hvis man ligger filer, kun hvis man sletter eller ændrer).
Men alt i alt . Tak for svar indtil nu . Men jeg er stadig interesseret i om det er muligt at laves som en tilføjelse til web.config filen. Det tror jeg nemlig det er.
Men du kunne maaske: - smide filerne ned i et subdir - konfigurere en HttpHandler for .aspx m.fl. i det dir - en handler som bare giver dem en fejl
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
