我无法确保ELMAH的安全.我跟随了Phil Haacked的教程,唯一的区别是演示项目是一个Web应用程序,我的项目是一个网站.
<add verb="POST,GET,HEAD" path="/admin/elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" />
<location path="admin">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
使用前导"/"我收到"无法找到资源"的响应,如果我删除前导"/"一切正常,除了可以通过在/admin/elmah.axd前面附加目录名来绕过身份验证.
例如没有前导"/"
www.mysite.com/admin/elmah.axd - 触发身份验证
www.mysite.com/asdasdasd/admin/elmah.axd - 不会触发身份验证并显示ELMAH
如何在保持远程查看日志的同时确保ELMAH安全?
谢谢.
其他人注意:
以下Alan的回答结果如下.
www.mysite.com/admin/elmah.axd - 触发身份验证
www.mysite.com/admin/asdasdasd/elmah.axd - 触发身份验证
www.mysite.com/asdasdasd/admin/elmah.axd - 资源不能是找到.(正是我们想要的)