Kri*_*mar 25 asp.net-mvc iis-7
当URL的任何部分以"."结尾时,我们遇到了一个问题,即我们的应用程序失败了 在里面'; 由于功能要求,我们无法避免这种情况.建议的解决方案是在web.config文件中打开relaxedUrlToFileSystemMapping.我们想知道这种方法是否存在任何潜在的安全风险.
失败URL的格式:http://server.com/path1/krishnakk./path2
它返回404错误.
小智 14
虽然这个问题已经有七个月了,但是如果有其他人遇到这样的情况,这是一个答案.
关于问题的安全性部分,默认情况下relaxedUrlToFileSystemMapping设置为false,ASP .NET假定URL的路径部分是有效的NTFS文件路径.如果通过设置relaxedUrlToFileSystemMapping为true来禁用此功能,则可能会因为禁用ASP .NET提供的默认保护而打开您的站点以进行攻击.
如果您绝对需要设置relaxedUrlToFileSystemMapping为true,则还应确保在应用程序要求的约束范围内验证所有URL.
| 归档时间: |
|
| 查看次数: |
6292 次 |
| 最近记录: |