我昨天在Chrome中打开了我们的一个webapps,它抛出了大红色“警告这个网站包含来自URL的
内容很糟糕”.我仔细检查了我输入的网址,并立即查看了源
代码并
搜索了该
文件.果然,在
底部是一个带有编码网址的脚本
标记,解码后是Chrome发现的有问题的网址.
我很好奇这是如何完成的以及我将来如何避免它.我采取的步骤如下,但不确定它们是否是解决方案.
我查看了IIS,发现该站点允许IUSR_ComputerName和IIS_WPG用户对整个webroot进行写访问,这最初用于编写上载和日志文件.我将此限制在需要写入的特定区域,并且仅限于IIS_WPG.
提前致谢.
这是一个开始. IUSR_ComputerName是默认情况下IIS用于匿名
用户权限的
内容.这意味着他们将能够进行匿名HTTP PUT,覆盖任何
文件.
IIS_WPG是用于运行应用程序池的权限的组.我理解它的方式,提高.NET用户对某些目录的权限应该足够了. IUSR_ComputerName应该只需要读取权限.
您要使用的应用程序池是什么?如果您运行多个站点,则创建特定用户帐户将提供一些额外的安全性,而不是向IIS_WPG组授予权限.