我有一个服务器,允许用户免费托管他们的网络应用。
在服务器上,我有4个不同的池子,其中2个池子用于.Net Framework,1个池子用于.Net MVC,1个池子用于.Net Core 3.1。
2个池是.Net Framework,1个池是.Net MVC,1个池是.Net Core 3.1。
每个池有50多个应用程序。
为了进行安全测试,我创建了一个程序,它需要文件的全路径定位,并从IIS服务器读取该文件。如果任何用户在我的服务器上传该类型的代码,那么他们可以评估任何文件。
现在,这就是我的服务器的问题。
现在,我想做的是,我的用户只能访问他们的应用程序资源,而不能访问其他用户的资源。
但是,我不知道如何做到这一点,我有一个服务器,它允许用户访问他们的应用程序,而不是其他的资源。
为了限制用户访问IIS中的文件,我们可以参考下面的配置在根web.config文件。
<location path="myfolder">
<system.webServer>
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<!--for authentication, we should enable either windows authentication or form authentication in IIS authentication module.-->
<add accessType="Allow" roles="Administrators" />
</authorization>
</security>
</system.webServer>
</location>
它将限制所有在 Myfolder. 特别是排除一个特定的文件。
<location path="my.jpg">
<system.webServer>
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Allow" roles="Administrators" />
</authorization>
</security>
</system.webServer>
</location>
如果有什么需要我帮忙的,请随时告诉我。