Может ли пользователь покинуть папку приложения ядра asp.net?

Question

Например, файл css.css доступен, потому что он должен быть

URL доступа:

localhost: 1234 / css.css

projects_folder
    - application.dll
    - wwwroot\css.css

но как насчет ситуации:

disk
     secret_folder
          - secret.txt
     application_folder
          - application.dll
          - wwwroot\css.css

Могу ли я с уверенностью предположить, что пользователь не может этого even with some tricks!:

localhost: 1234 /../ secret_folder / secret.txt

в стандартном шаблоне MVC ASP .NET Core по умолчанию?

Answer 1

Это зависит от того, как настроено приложение.

В шаблоне MVC ASP .NET Core по умолчанию в вашем Startup.Configure должно быть указано следующее, чтобы разрешить доступ к статическим файлам в папке wwwroot:

public void Configure(IApplicationBuilder app)
{
    app.UseStaticFiles(); // For the wwwroot folder
}

Перегрузка метода UseStaticFiles без параметров помечает файлы в веб-корне (wwwroot) как обслуживаемые.

Чтобы получить доступ к статическим файлам вне веб-корня, вам потребуется добавить дополнительную конфигурацию,как описано в следующей ссылке:

https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files?view=aspnetcore-2.1&tabs=aspnetcore2x