MIS2000 Lab -- ASP.NET專題實務 / WebForm + MVC線上教學影片

ASP.NET專題實務(I)，博碩出版

** IIS 與 檔案上傳 (FileUpload)的安全設定 **

18–13–1 要求篩選（Request Filtering）

新版本IIS都提供了「要求篩選（Request Filtering）」的功能。但需要您手動安裝、增加這功能到IIS裡面。您的作業系統必須具備IIS才能安裝，例如Win10專業版或Windows Server。

18–13–2 限制執行

檔案上傳也可能是網站的一個大漏洞，如果有人把病毒或是木馬程式上傳並執行，那就糟了。有三個建議：
第一，除了前面說過最基本的「副檔名」檢驗以外，建議您也限制上傳目錄的權限，讓它只能讀寫卻無法執行。

第二，以下圖為例，針對「網站底下的子目錄」做設定，例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「執行」的權限，以免有人上傳木馬程式或病毒後去執行它。當然，做了IIS任何設定以後，您最好重新測試一遍，以免影響到其他功能。

第三，Web Server也得安裝防毒軟體。如果真的被上傳病毒或是木馬程式，也能被檢查出來。大部分的防毒軟體，當對方上傳以後，通常會有即時掃描的功能。但仍建議每天在離峰時段進行全機掃描

在IIS 7.x版（Windows Server 2008）起有另一個設定「處理常式對應（Handle Mapping）」（如下圖，畫面上不太好找）。

針對「網站底下的子目錄」做設定，例如4_BigControl_Manual這個資料夾是用來存放上傳檔案的。千萬不允許它有「指令碼」\「執行」的權限，務必留白（如下圖，不打勾）。做了IIS任何設定以後，建議重新啟動網站服務並重新測試一遍，以免影響到其他功能。

以上來自 — ASP.NET 專題實務 (I) / 博碩出版

................  YouTube (ASP.NET) 線上教學影片  http://goo.gl/rGLocQ

*********************************************************************************************

*** ASP.NET MVC線上課程 第一天 免費看 (5.5小時) *** 

************************************************************（歡迎索取，免費申請）*****

ASP.NET遠距教學、線上課程（Web Form + MVC）第二門 課程「四折」-- 以MVC課程作為優惠。

第一天完整課程，提供 "完整" 試聽。  如 "第一天"試聽 不滿意 全額退費！

Blog文章 "附的範例" 無法下載，請看 這裡 ...... https://dotblogs.com.tw/mis2000lab/2016/03/14/2008_2015_mis2000lab_sample_download

請看我們的「售後服務」範圍（嚴格認定）。