在我的网站中,登录的用户可以更改他们的头像,这个过程包括将上传的图片保存到网站根目录中的文件夹中。
当我测试它时,我收到一个错误,我应该使用权限授予对该特定文件夹的访问权限。
我无法控制控制面板,控制面板的那个人说他确实授予了 Images 文件夹READ 和WRITE 其他人的权限。
再次测试后,再次出现同样的错误,所以我编辑了 web.config 并包括:
<identity impersonate="true"/>
现在一切似乎都很完美。但是,我刚刚在这里做了什么?有没有安全隐患?我是否授予所有人匿名访问我的网站的权限?
最佳答案
BUT, what did I just do here?
您现在以客户用户的身份运行您的网站。
Is there any security risk?
这取决于此帐户在服务器上的权限。通常,使用具有很多权限的帐户来运行网站是一种不好的做法。理想情况下,您应该将您的网站配置为在您明确授予所需文件夹权限的帐户下运行。
您的方法的问题在于,如果另一个无权访问指定文件夹的用户访问您的网站,则该方法对他不起作用。另一方面,如果这是预期的行为,那么冒充用户身份可能就没问题。
Did I grant anonymous access to my website for everyone?
不,这与身份验证无关。
关于c# - <identity impersonate ="true"/>的正确使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17923918/