在IIS(6或7)中,当禁用目录浏览时,IIS在检测到尝试浏览目录时返回“403 – 禁止”错误(例如“
http://mydomain.com/folder”).
有没有办法配置IIS以返回“404 – Not Found”错误而不是“403”用于目录浏览尝试?
这是一个asp.net webforms网站.
我们网站的安全扫描指出,返回“403”可以帮助恶意人员映射我们的网站;以前没想过,但我不得不承认这是有道理的.
解决方法
如果您使用的是ASP.Net MVC,请将以下处理程序添加到web.config中
<system.webServer>
<handlers>
<add name="StopDirectoryBrowsing" path="*." resourceType="Directory" verb="*"
preCondition="integratedMode" type="System.Web.HttpNotFoundHandler" />
</handlers>
<system.webServer>
