我们有一个网站,其中有一个文件:
www.example.com/apis/httpapi.asp
此文件由网站内部使用,用于发出将网站上的两个系统连接在一起的请求(一个是 Classic ASP,另一个是 ASP.net)。但是,我们不希望公众能够访问此文件。
在 IIS7.5 中,我是否可以进行设置以使此文件仅供内部使用?我尝试过重写它的 URL,但此重写也应用于内部,因此脚本在获取重写的 URL 时会停止工作。
谢谢你的帮助!
答案1
有几种方法... IP 限制、URL 重写、代码内保护。但最好和最安全的可能是删除对文件的读取权限。
如果您可以将文件类型更改为 .inc,那么实际上就会阻止它。另一种方法是将其放在已删除读取权限的只读文件夹中。或者,您可以对一个文件执行此操作。对一个文件执行此操作的唯一问题是,如果将来重命名(有人忘记了),那么它将不再被阻止。
在 IIS7.x 中,删除读取权限的方法如下处理程序映射->编辑功能权限。
答案2
您可以让 ASP 脚本本身检查它收到的针对 IP 地址 ( REMOTE_ADDR) 的请求,并且仅传递来自有效内部地址的请求。