《安全问题》关于AspNet权限的问题
cnhgj 2006-04-12 07:04:20 首先我们的IIS站点的目录须要有AspNet用户的读取权限,否则会出现对“E:\xxx\”的访问被拒绝。未能开始监视文件更改。
假设目录在E:\,磁盘下有很多文件夹,放置不同虚拟主机用户的目录。
aa.com的目录名为aa。bb.com的目录名为bb
这时,如果aa.com的用户上传一个aspx文件。里面的代码是读取E:\bb\web.config文件的话。那么不是
可以轻易读取其它站的文件了?这样是不是很不安全呢?