在檢測網站時,發現某個需登入後的頁面,在取得網址後就可以進入修改,這表示後台門戶大開,大大影響資安與資料的外洩。
比如說Maintain這個資料夾,是需要透過登入認證後才可以存取。
所以在web.config必須加上
- deny:拒絕
- allow:允許
- users="?":匿名使用者
- users="*":所有使用者
- 上面的意思就是拒絕匿名使用者(沒有登入就沒有存取權限)
這個config檔可以放置在maintain目錄下,這樣權限只會限制在此目錄中。
如果是放在最外層的web.confg中,就會讓整個網站都受限制。
若放在最外層也可以改寫成
配合Forms驗證
當你網址是需要登入才可以使用,這裡就會幫你把程式導到登入頁面。
參考:
沒有留言:
張貼留言