asp.net-mvc – 启用relaxedUrlToFileSystemMapping以允许以“。”结尾的URL的任何潜在安全风险?

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – 启用relaxedUrlToFileSystemMapping以允许以“。”结尾的URL的任何潜在安全风险?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
当URL的任何部分以“。”结尾时,我们遇到了一个问题,即我们的应用程序失败了在里面’;由于功能要求,我们无法避免这种情况。建议的解决方案是在web.config文件中打开relaxedUrlToFileSystemMapping。我们想知道这种方法是否存在任何潜在的安全风险。

失败URL的格式:http://server.com/path1/krishnakk./path2

它返回404错误

解决方法

虽然这个问题已经有七个月了,但是如果有其他人遇到这样的情况,这是一个答案。

关于问题的安全性部分,默认情况下,relaxedUrlToFileSystemMapping设置为false,并且ASP .NET假定URL的路径部分是有效的NTFS文件路径。如果通过将relaxedUrlToFileSystemMapping设置为true来禁用此功能,那么您可能会打开站点以进行攻击,因为您正在禁用ASP .NET提供的默认保护。

如果您绝对需要将relaxedUrlToFileSystemMapping设置为true,那么您还应该确保在应用程序要求的约束范围内验证所有URL。

猜你在找的asp.Net相关文章