我今天正在部署一个站点,似乎我需要授予站点目录对系统帐户“networking服务”的读/写权限。 这是否意味着任何其他网站上运行的这个虚拟主机(谁也可能是作为networking服务运行)也可以访问这些文件?
我尝试将权限分配给与我的域名匹配的预先创build的帐户。 虽然这似乎不足以运行该网站。 我收到访问被拒绝的消息,除非我也授予“networking服务”权限。
请注意 ,它是错误的,我不需要授予networking服务的权限,我的网站的工作。
note注意 webhosting公司正在Windows上运行IIS。
如果服务器上的Web应用程序在Medium Trust中运行,则应该禁止在应用程序根目录之外读写文件,即使在文件许可的情况下也如此。 没有这个,虽然; 是的,在networking服务环境下运行的任何应用程序都可以读取和写入网页目录中的文件。
不过,一个好的共享网站主机应该默认这样设置网站。 请记住,即使不需要设置写入权限,如果共享服务器上的所有Web应用程序都具有多个“中等”信任,则可以读取网站中的所有文件 – 包括web.config,任何源代码文件,App_Data目录的所有内容等等。中等信任应该防止跨Web应用程序边界的读取。
假设这是IIS上的ASP.NET
为您的网站创build一个专用AppPool,然后将该AppPool设置为您创build的预创build帐户运行,这将消除对需要r / w的networking服务的依赖
有关如何执行此操作的指南: http : //www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/f05a7c2b-36b0-4b6e-ac7c-662700081f25.mspx?mfr=true