- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在我的网络应用程序中,我删除了这些字符:
( < ,> ,: ," ,/ ,\ , | ,? ,* )
来 self 的文件下载网址以防止路径遍历。
有什么办法可以绕过这个吗?
安全吗?
最佳答案
查看以下指南:http://msdn.microsoft.com/en-us/library/ff647397.aspx但与您的问题相关的部分在下面突出显示。
If you must accept file names as input, use the full name of the file by using System.IO.Path.GetFileName.
如果您想进一步保护您的网站:
Using Code Access Security to Restrict File I/O An administrator can restrict an application's file I/O to its own virtual directory hierarchy by configuring the application to run with Medium trust. In this event, .NET code access security ensures that no file access is permitted outside of the application's virtual directory hierarchy.
You configure an application to run with Medium trust by setting the element in Web.config or Machine.config.
<trust level="Medium" />
关于asp.net - 绕过路径遍历过滤器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19505485/
我是一名优秀的程序员,十分优秀!