Comment refuser l'accès aux fichiers .dll dans un site Web (sur IIS 6 et 7)

Question

Si j'utilise une URL comme http://mysite/myfolder/myfile.dll, j'obtiens une boîte de dialogue "Voulez-vous ouvrir ou enregistrer ce fichier". Bien sûr, je ne veux pas que les gens puissent télécharger et désassembler notre DLL. Comment puis-je refuser aux personnes accédant directement à ces fichiers?

Answer 1

Nier toutes les DLL est drastique dans un site asp.net, comme Silverlight etc utilisent des DLL client qui doivent être disponibles pour le téléchargement par le navigateur client.

Vous pouvez utiliser la console de gestion IIS ou les API de gestion pour désactiver l'authentification sur le fichier ou le répertoire de la DLL. Il suffit de décocher toutes les options d'authentification et l'accès sera refusé.

Answer 2

La réponse courte est qu'il ne devrait pas y avoir de fichiers que vous ne voulez pas servir sous la racine Web.

Je ne connais pas personnellement IIS 6 ou 7, mais sous Apache, un répertoire est désigné comme racine Web, par ex. \ site \ htdocs, et rien au dessus n'est accessible à l'extérieur. Si vous conservez vos fichiers DLL hors de cette hiérarchie, ils sont inaccessibles.

Answer 3

Habituellement, cela est interdit par défaut. Si vous allez dans le gestionnaire IIS et éditez le site Web, vous devez décocher l'accès à la source de script. DLL devrait également être sur la liste des extensions de fichiers interdites.

Answer 4

Définissez les droits de sécurité et d'accès aux fichiers Windows appropriés.

E.g. Lorsque vous utilisez asp.net, vous devez refuser l'accès au fichier .dll pour tous les utilisateurs, à l'exception du compte ASPNET.

! Le compte IUSR_xxx ne devrait avoir aucun droit sur votre .dll!

Answer 5

Si pour certaines applications de script dans IIS raison ne peuvent pas être modifiés, HttpForbiddenHandler peut être utilisé