IIS7 URL过滤

Question

当用户使用类似以下的网址时，我试图拒绝访问我的网站

https://www.mywebsite.com/./somepage.aspx

现在，当我尝试使用IIS7上方的网址时：

https://www.mywebsite.com/somepage.aspx

我还在服务器上安装了urlscan

AllowDotInPath=0

[DenyUrlSequences]

..  ; Don't allow directory traversals
./  ; Don't allow trailing dot on a directory name
\   ; Don't allow backslashes in URL
:   ; Don't allow alternate stream access
%   ; Don't allow escaping after normalization
&   ; Don't allow multiple CGI processes to run on a single request

但它仍然允许访问:(

我的测试方法是使用curl：

curl -I https://www.mywebsite.com/./somepage.aspx

我究竟做错了什么？

预先感谢！

Answer 1

将您的web.config设置为拒绝对somepage.aspx的所有用户的访问，然后仅允许授权用户。 根据您使用的是Windows Active Directory授权还是表单授权，此操作的执行方式有所不同，但是概念仍然相同。

关于如何设置web.config， 请看这里

另一方面，为什么您的网址中有句点？ 是当前目录吗？？？