ASP.NET 禁止日志文件通过Url形式访问

小渣渣

asp.net 使用 log4net 写日志的时候，会将日志文件存放到项目的根目录某个文件夹下面，如果攻击者通过暴力模拟请求的方式，可以找到txt日志文件，通过url访问，可以获取到一些敏感信息，如何屏蔽敏感目录通过URL访问呢？本文将做讲解。

日志文件：

http://localhost:60155/Log/LogInfo/20180903.txt



通过浏览器，可以轻易的读取日志文件内容，如何屏蔽敏感目录通过URL访问呢？

方式一（已测）

在Web.config中作如下的配置：

登录可见。

此时，再次浏览 Log/LogInfo 目录下的 20180903.txt，发现禁止了，提示如下：



页面会显示404错误，页面是我自定义的404错误页面。

注：配置的Log，不会区分大小写，也就是通过全部小写的url链接，同样会报404错误。

方式二（未测）

还是编辑web.config文件，如下：

登录可见。

HttpForbiddenHandler 代码如下：

登录可见。

原理是将指定规则的链接，转发到相应的请求管道，然后，由自定义的http请求管道去处理请求。