MIME(多用途互联网邮件扩展)类型的限制规则最早是 IIS 6.0 引入的。利用这些限制规则,可以避免 IIS 向外界提供未定义文件类型的文件,从而可以帮助我们保护服务器免受恶意***者下载敏感文件(例如:配置文件,数据文件,以及系统二进制文件等)。
虽然这些文件通常不会保存在 Web 网站的根文件夹中,但是,一旦我们对系统进行了错误配置,或者 URL 标准产生了漏洞(例如,尼姆达蠕虫就可以利用这种漏洞),那么***者就可以访问到敏感文件。如果某个客户企图下载的文件并不是事先定义好的 MIME 类型,那么一个 404.3 HTTP 状态将被记录到 IIS 日志文件中。
MIME 类型扩展的安全设置仅适用于由 IIS Static File HTTP 处理程序处理的文件。如果文件扩展是由不同的处理程序处理的(例如,这个文件扩展是由一个 ISAPI 扩展,如:ASP或ASP.NET所处理的),那么这个文件扩展就没有对应的 MIME 类型定义。
IIS 7.0 大约提供了 340 个预定义的 MIME 类型,包括文本文件(如.txt、.CSS、.js 文件)、HTML 文件(以 .HTML和.htm为扩展名的文件)、图像文件(.JPG文件、.GIF文件,以及.PNG文件),还包括通用音频格式文件和视频格式文件。在安装 IIS 7.0 的过程中,如果我们安装了静态文件选项,那么这些 MIME 类型都已经自动启用。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
