Webサイトのディレクトリブラウズを停止するだけでなく、既定のドキュメントを許可する方法

Question

Webサーバー上のディレクトリにアクセスしようとすると、403メッセージが表示されますが、ハッカーはフォルダが存在するという手がかりを与えます。

私はこの問題の究極の解決策を見つけたと思った - web.configファイルのsystem.webServerにこれを追加することによって：

<handlers> 
    <add name="StopDirectoryBrowsing" path="*." resourceType="Directory" verb="*" type="System.Web.HttpNotFoundHandler" preCondition="integratedMode" /> 
</handlers> 

これを正しく使用すると、ディレクトリを訪問しようとすると404を発生させます。

しかし、悲しいことに悲しいことに、これはトップレベルのデフォルトのドキュメントメカニズムを無効にします。

誰でもデフォルトドキュメントが動作することを許可するが、まだサブディレクトリを保護することができる上記の変形を提案することはできますか。

Answer 1

これは実際に返されたステータスコードは変更されませんが、あなたは<customErrors>を使って、好きなリダイレクトできます。

<customErrors mode="RemoteOnly" defaultRedirect="~/redirect/error-status.aspx"> 
    <error statusCode="403" redirect="~/redirect/access-denied.aspx" /> 
    <error statusCode="404" redirect="~/redirect/file-not-found.aspx" /> 
</customErrors> 

あなたがしたい場合は、あなたが1つのページにすべてのステータスコードをリダイレクトすることができます。