鉴于服务器的唯一作用是作为网络服务器,并且服务器仅用于托管专用应用程序,因此不存在任何类型的搭配/用户可管理的网站。
applicationHost.config 设置真的有什么用处吗overrideModeDefault="Deny"?
是否有任何理由认为用“允许”取代“拒绝”是个坏主意?
答案1
引用文档,该overrideModeDefault="Deny"属性通常用于拒绝对配置设置的更改:
与服务器的任何性能、安全或关键方面相关... [剪辑] ... 如果 overrideModeDefault 属性设置为“Deny”,则较低级别的任何配置文件(即 web.config 文件)[我强调]
即使在您的服务器(面向公众)专门用于运行您自己的应用程序的环境中,通常也最好不要允许更改这些设置。原因是,如果您的网站被劫持,攻击者无法通过添加自己的 ISAPI 过滤器或修改网站web.config文件中的其他关键设置来进一步破坏您的网站。
另一个原因是,您的开发人员(不是服务器管理员)可能不了解随意覆盖设置以使网站正常工作的后果,web.config这可能会影响服务器的整体性能和安全性。
如果您对服务器有完全控制权,那么最好将这些更改限制在站点文件中applicationHost.config,而不是允许它们在站点文件中随意设置web.config。然后,服务器管理团队将成为可能需要应用于特定站点的任何更改的守门人。