堆棧內存溢出
  簡體   English   中英

用戶能否逃脫asp.net core的應用程序文件夾?

[英]Is it possible for user to escape asp.net core's application folder?

 原文  2018-10-23 09:15:24       c#/ asp.net/ security/ asp.net-core/ asp.net-core-mvc

問題描述

例如,文件css.css是可訪問的,因為它應該是

訪問網址:

本地主機:1234 / css.css 

projects_folder
    - application.dll
    - wwwroot\css.css

但是情況如何: 

disk
     secret_folder
          - secret.txt
     application_folder
          - application.dll
          - wwwroot\css.css

我可以安全地假設even with some tricks!用戶也無法做到這一點even with some tricks!

本地主機:1234 /../ secret_folder / secret.txt

在默認ASP .NET Core的MVC模板中?

1 個解決方案

解決方案1
 1  2018-10-23 09:55:05

這取決於應用程序的配置方式。

在默認的ASP .NET Core的MVC模板中,您應該在Startup.Configure中包含以下內容,以允許訪問wwwroot文件夾中的靜態文件: 

public void Configure(IApplicationBuilder app)
{
    app.UseStaticFiles(); // For the wwwroot folder
}

無參數的UseStaticFiles方法重載將Web根(wwwroot)中的文件標記為可服務。

為了訪問Web根目錄之外的靜態文件,您將需要添加進一步的配置,如以下鏈接中所述:

https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files?view=aspnetcore-2.1&tabs=aspnetcore2x

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 是否可以在 ASP.NET Core 中為共享視圖定義特殊文件夾? 是否可以在 asp.net 核心路由中包含應用程序名稱? 是否可以使用 Roslyn 構建 ASP.Net Core Web 應用程序? 是否可以在分層 ASP.NET Core 應用程序中的 DAL 中使用 DbContext? 是否可以在asp.net CORE中將用戶ID轉換為int? 使用ASP.NET Core的應用程序和用戶身份驗證 來自 ASP.NET Core 身份的 Application Insights 用戶 ID 是否可以在沒有ASP.NET的情況下創建“用戶帳戶” Windows應用程序? 在ASP.NET Core 2中排除文件夾 ASP.NET Core 6 中的功能文件夾結構
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM