Опубликованные веб-трансляции представляют угрозу безопасности

Question

Наш asp mvc публикуется автоматически с использованием развертывания осьминогов. Мы используем преобразования веб-конфигураций, и мы всегда получаем дополнительные файлы, зависящие от среды, в папке установки. Например

Web.development.config Web.test.config Web.preprod.config

Существует небольшое преимущество в том, эти файлы развернутые, так как мы можем легко сравнить значения между различными средами при поиске неисправностей.

Есть ли риск для безопасности при использовании различных конфигурационных файлов в рабочей среде?

Answer 1

IIS должен быть настроен на предотвращение загрузки файлов .config по умолчанию, но в зависимости от того, насколько жесткими ваши потребности в безопасности, может быть, стоит избавиться от них. (например, если кто-то содержит тестовый сервер, они не получают доступа к производству).

Если вы хотите избавиться от него, вы можете написать сценарий PostDeploy.ps1 для удаления Web. *. Config