阻止MVC为.js、.css等静态文件提供服务
本文关键字:文件 静态 服务 css MVC js 阻止 | 更新日期: 2023-09-27 17:59:43
我使用MVC5构建了一个web应用程序,刚刚从ITSec部门得到了最重要的结果。我被告知不要提供静态文件,如.js、.css、.html、图像文件等。例如:有人用www.mywebsite.com/Scripts/myjs.js访问我的网站,它会显示文件的内容。
我环顾四周,发现有人建议使用route.Ignores,但运气不佳。所以我的问题是:
- 如何做到这一点
- 是否存在真正的安全风险?(我从ITSec部门得到的文件被标记为低风险)
Mate,简短的答案是否定的,你不能阻止用户检查/查看你的css/js文件,这根本不可能。因为浏览器需要看到你的css/js文件来渲染html,即使你在路由中以某种方式隐藏了它们,用户仍然可以很容易地通过浏览器看到它们。
无论如何,Css/Js文件不应该包含敏感/机密信息,这应该是网页的行为和外观,不应该与您的业务逻辑有关,在这一点上,向公众公开Css/Js文件应该没有风险。