Pergunta básica sobre permissões do IIS7

1

Temos um site com um arquivo:

www.example.com/apis/httpapi.asp

Este arquivo é usado internamente pelo site para fazer solicitações unindo dois sistemas no site (um é ASP Clássico, o outro ASP.net). No entanto, não queremos que o público possa acessar o arquivo.

No IIS7.5, há uma configuração que posso fazer para tornar esse arquivo interno apenas? Eu tentei reescrever o URL para ele, mas essa reescrita também é aplicada internamente para que os scripts parem de funcionar enquanto buscam o URL reescrito.

Obrigado por qualquer ajuda!

    
por Tom Gullen 26.06.2011 / 03:59

2 respostas

3

Existem algumas maneiras ... Restrições de IP, regravação de URL, proteção dentro do código. Mas o melhor e mais seguro é provavelmente remover o acesso de leitura ao arquivo.

Se você pode alterar o tipo de arquivo para .inc, isso essencialmente irá bloqueá-lo. Outra maneira é colocá-lo em uma pasta somente leitura que tenha acesso de leitura removido. Ou você pode fazer isso para o arquivo único. A única preocupação em fazer isso para um arquivo é que, se ele for renomeado no futuro (alguém esquece), ele não será mais bloqueado.

No IIS7.x, a maneira de remover o acesso de leitura está em Mapeamentos do manipulador - > Editar permissões de recursos .

    
por 27.06.2011 / 18:11
2

Você pode fazer com que o próprio script ASP inspecione as solicitações recebidas para o endereço IP ( REMOTE_ADDR ) e passe apenas pelas solicitações feitas a partir de endereços internos válidos.

    
por 26.06.2011 / 11:21