堆栈内存溢出
  繁体   English   中英

用户能否逃脱asp.net core的应用程序文件夹?

[英]Is it possible for user to escape asp.net core's application folder?

 原文  2018-10-23 09:15:24       c#/ asp.net/ security/ asp.net-core/ asp.net-core-mvc

问题描述

例如,文件css.css是可访问的,因为它应该是

访问网址:

本地主机:1234 / css.css 

projects_folder
    - application.dll
    - wwwroot\css.css

但是情况如何: 

disk
     secret_folder
          - secret.txt
     application_folder
          - application.dll
          - wwwroot\css.css

我可以安全地假设even with some tricks!用户也无法做到这一点even with some tricks!

本地主机:1234 /../ secret_folder / secret.txt

在默认ASP .NET Core的MVC模板中?

1 个解决方案

解决方案1
 1  2018-10-23 09:55:05

这取决于应用程序的配置方式。

在默认的ASP .NET Core的MVC模板中,您应该在Startup.Configure中包含以下内容,以允许访问wwwroot文件夹中的静态文件: 

public void Configure(IApplicationBuilder app)
{
    app.UseStaticFiles(); // For the wwwroot folder
}

无参数的UseStaticFiles方法重载将Web根(wwwroot)中的文件标记为可服务。

为了访问Web根目录之外的静态文件,您将需要添加进一步的配置,如以下链接中所述:

https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files?view=aspnetcore-2.1&tabs=aspnetcore2x

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 是否可以在 ASP.NET Core 中为共享视图定义特殊文件夹? 是否可以在 asp.net 核心路由中包含应用程序名称? 是否可以使用 Roslyn 构建 ASP.Net Core Web 应用程序? 是否可以在分层 ASP.NET Core 应用程序中的 DAL 中使用 DbContext? 是否可以在asp.net CORE中将用户ID转换为int? 使用ASP.NET Core的应用程序和用户身份验证 来自 ASP.NET Core 身份的 Application Insights 用户 ID 是否可以在没有ASP.NET的情况下创建“用户帐户” Windows应用程序? 在ASP.NET Core 2中排除文件夹 ASP.NET Core 6 中的功能文件夹结构
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM