发布到生产环境的 Web 转换是否会带来安全风险
Do web transforms published to production pose a security risk
我们的 asp mvc 是使用章鱼部署自动发布的。我们使用 web 配置转换,我们总是在安装文件夹中得到额外的环境特定文件。例如
Web.development.config
Web.test.config
Web.preprod.config
部署这些文件有一点好处,因为我们可以在故障排除时轻松比较不同环境之间的值。
将不同的配置文件部署到生产环境是否存在安全风险?
IIS 应配置为默认情况下阻止下载 .config
文件,但根据您的安全需求有多严格,删除它们可能是值得的。 (例如,如果某人包含测试服务器,他们将无法访问生产服务器)。
如果你确实想去掉,你可以写一个PostDeploy.ps1脚本来删除Web.*.config
可以使用社区贡献的步骤删除这些文件 File System - Clean Configuration Transforms。
如果您希望它们可用于诊断目的,请重新部署版本,但关闭此步骤。
我们的 asp mvc 是使用章鱼部署自动发布的。我们使用 web 配置转换,我们总是在安装文件夹中得到额外的环境特定文件。例如
Web.development.config Web.test.config Web.preprod.config
部署这些文件有一点好处,因为我们可以在故障排除时轻松比较不同环境之间的值。
将不同的配置文件部署到生产环境是否存在安全风险?
IIS 应配置为默认情况下阻止下载 .config
文件,但根据您的安全需求有多严格,删除它们可能是值得的。 (例如,如果某人包含测试服务器,他们将无法访问生产服务器)。
如果你确实想去掉,你可以写一个PostDeploy.ps1脚本来删除Web.*.config
可以使用社区贡献的步骤删除这些文件 File System - Clean Configuration Transforms。
如果您希望它们可用于诊断目的,请重新部署版本,但关闭此步骤。