正確保護IIS 7讀/寫文件夾

Question

我正在運行IIS 7和ASP.NET 4.它是一個聯機圖表應用程序，其中一個文件夾需要具有讀取/寫入權限。用戶不會直接將任何內容上傳到此文件夾中;相反，他們配置圖表設置，然後ASP.NET在服務器上生成圖表並將其保存爲圖像到該讀取/寫入文件夾中。用戶被重定向到從該文件夾下載圖表的圖像。

爲了允許IIS/ASP.NET將圖像保存到文件夾中，我將WRITE權限授予IIS AppPool/ChartApp帳戶。

但是，我擔心有一個打開HTTP文件夾的寫權限。雖然沒有直接的方法可以通過我的網站將文件上傳到該文件夾​​中，但我擔心黑客會找到上傳腳本並執行的方法。這些有效的擔憂？還有什麼我需要做的，以確保這樣的讀/寫文件夾？

謝謝。

Answer 1

我最終做的是使用不同的帳戶來寫入文件。來自this article的代碼適用於impersionation。寫入文件的帳戶具有寫入權限，並且「主」AppPool帳戶仍爲只讀。

Answer 2

該配置是健全的和一個標準的標準設置。正如您所指出的那樣，除非添加一個文件，否則無法上傳文件。

如果您對此特別偏執，您可以設置一個新的用戶帳戶並將該帳戶用作「匿名用戶」帳戶（這是您網站上常見瀏覽用戶使用的憑據），並確保該帳戶不會AppPool賬戶沒有寫入acccess。匿名用戶默認使用AppPool身份。

What are all the user accounts for IIS/ASP.NET and how do they differ?具有每種不同帳戶類型的詳細信息。