Юзеры грузят свои файлы, преимущественно это картинки и архивы.

Условно говоря - можно загрузить файл, вызов которого повлечет выполнение кода на сервере. Бред конечно, но это так.

Как запретить такую штуку наверняка?

Antonariyпо-моему весь пост бред.

1) aspx предназначен для прямого доступа, если не нужен доступ - удалить aspx
2) зачем выполнять загружаемые файлы?


Что тебе непонятно??

Пользователь может загрузить сам aspx файл на сервер. А потом его выполнить. При этом имея доступ к файлам сайта.

handmadeFromRuрасширение или сигнатура файла, все ж просто


Что (и где) прописывать то нужно?

AntonariyMonochromatiqueПользователь может загрузить сам aspx файл на сервер. А потом его выполнить. да ты бредишь.
aspx содержит лишь разметку, а исполняемый код - в dll, которую компилируешь ты сам, и которая хранится в bin.
если кто-то в курсе про интерфейс этой твоей dll, написал свою собственную разметку, вызывающую какой-то метод, то в этом нет никакой разницы с тем, как если бы он дернул твой aspx.

это не считая того, что позволять загружать aspx - за гранью здравого смысла.

Да сам ты бредишь. Мало того, что aspx может выполнить js-скрипты, так он и произвольный c# код выполнить может, произвольный доступ к БД и прочее.

-- это не считая того, что позволять загружать aspx

Согласен. Но мне как-то казалось, что MVC "сам" блокирует прямой доступ к страницам. Оказывается, только в папке Views.

Вопрос - как запретить такой доступ по всему сайту?

Antonariyкроме того, загружать можно в папку, которой выставлен запрет на исполнение, только чтение/запись/удаление.

Во во, а где это выставляется?? У меня AZURE

AxeleronMonochromatiqueМало того, что aspx может выполнить js-скрипты, так он и произвольный c# код выполнить может, произвольный доступ к БД и прочее.
Срочно учим матчасть.

Мил человек, не понимаю я намеков - какую матчасть??

Antonariyисходники запускаются только из папки app_code.


Я не знаю, что ты имеешь в виду под "исходниками", но C#-код на aspx странице при обращении к ней будет скомпилен и выполнен. И выполнен на сервере. Если страница находится например в папке /Content.

C#-код и БД обратится, и файлы JS изменит\переместит - да что угодно.

Про папки я понял - только неясно, где это в азуре настраивается.

Antonariyкороче, ты почему-то считаешь разработчиков веб-платформы ms идиотами, оставившими в ней дыры, через которые слон со свистом пролетает.

Да там не слон пролетает, а целое стадо.

Короче, создай новый проект ASP.NET MVC, всё по умолчанию.

В папку Content положи aspx файл с




Ну и обратись к ней. Другой вопрос - как он там вообще оказался, но через это можно получить доступ и к файловой системе (web.config ага), и к БД.

Antonariyобрати внимание на CodeBehind="WebForm1.aspx.cs"

WebForm1.aspx.cs - это и есть исходник. и, чтобы быть скомпилированным, находиться он должен ТОЛЬКО в App_Code. в самом aspx c#-кода в природе не встречается.

а про эту возможность я запамятовал:

впрочем, скорее всего и от нее можно избавиться, снеся с iis поддержку классического asp, ведь это asp.

Monochromatique Да там не слон пролетает, а целое стадо.
ты сам себе злобный буратино, раз позволяешь загружать aspx, и ms тут ни при чем. они не могут помешать тебе выстрелить самому себе в ногу.

Я не гоню на MS (хотя по совокупности факторов - это дырищщщща), и с загрузкой на сайт вопрос отдельный.

Вопрос как это закрыть? Про папки на IIS я понял, как это закрыть на уровне приложения?


AntonariyДа там не слон пролетает, а целое стадо.
они не могут помешать тебе выстрелить самому себе в ногу.[/quot]

Вообще то - должна помешать. Во Views они эту возможность закрыли, а в остальных папках нет.

handmadeFromRu,

Да ничего мне не мешает. Вопроса с препятствием загрузке - нет.

Вопрос - запрет прямого вызова aspx по всему сайту, ибо такое вот мое желание.