[IIS] ASP.NET rarおよびzipファイルのダウンロードを禁止する

クズども · 2021年1月13日 10:50:26に投稿

古いバージョンのIISでは、zipやrar形式のファイルはデフォルトでダウンロードできず、MIME設定を追加してダウンロードアクセスを許可する必要があると記憶しています。

最新のIIS 10バージョンでは、ダウンロード用のrarファイルやzipファイルに直接アクセスでき、ウェブサイトを更新するたびにリリースパッケージをzip形式にまとめてサーバーにコピーしてアンパックできます。

圧縮された更新パッケージが期限内に削除されず、他の人にアクセス・ダウンロードされてしまうと、ソースコードの漏洩が発生し、ウェブサイトのセキュリティに影響が出ます。

rarやzipファイルのダウンロードを無効にするにはどうすればいいですか?

web.config は以下のように設定されています:

ログインが見えます。

ウェブサイトのルートディレクトリに既に存在するRARファイルにアクセスしようとすると、以下のエラーが発生します:

リクエストURL:http://localhost:8086/itsvse.rar
リクエスト方法:GET
ステータスコード:403 禁止
リモートアドレス: [::1]:8086
リファラーポリシー:厳格な起源-クロスオリジン

その結果、静的ファイルの削除は以下の形式で設定しました。

ログインが見えます。

MIMEタイプが見えますが、rarやzipの設定はもうありません。

(終わり)

[ASP.NET] [IIS] ASP.NET rarおよびzipファイルのダウンロードを禁止する

関連記事

閲覧したセクション