在ASP.NET网站中保护Elmah

Question

我在尝试安全ELMAH时遇到问题。我遵循了Phil Haacked的tutorial，唯一的区别是演示项目是一个web应用程序，我的项目是一个网站。

<add verb="POST,GET,HEAD" path="/admin/elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" /> 

    <location path="admin"> 
     <system.web> 
      <authorization> 
       <deny users="?"/> 
      </authorization> 
     </system.web> 
    </location> 

凭借领先的“/”我收到的响应“的资源不能被发现。”，除了认证，如果我删除开头的“/”一切正常，可以通过附加在前面的目录名被忽略/admin/elmah.axd。

例如没有前导 “/”

www.mysite.com/admin/elmah.axd - 触发认证
www.mysite.com/asdasdasd/admin/elmah.axd - 不触发验证和显示ELMAH

如何确保ELMAH在保持远程查看日志的能力的同时安全？

谢谢。

给他人的提示：
以下Alan的回答如下。

www.mysite.com/admin/elmah.axd - 触发认证
www.mysite.com/admin/asdasdasd/elmah.axd - 触发认证
www.mysite.com/asdasdasd/admin/ elmah.axd - 找不到资源。 （正是我们想要的）

Answer 1

我玩过web.config并得到以下工作。基本上，不要将elmah.axd HttpHandler放入常规system.web中，而是将其专门添加到“admin”路径位置的system.web中。

<location path="admin"> 
    <system.web> 
     <httpHandlers> 
      <add verb="POST,GET,HEAD" path="elmah.axd" 
       type="Elmah.ErrorLogPageFactory, Elmah" /> 
     </httpHandlers> 
     <authorization> 
      <deny users="?"/> 
     </authorization> 
    </system.web> 
</location> 

Answer 2

在IIS 7.5 windows server 2008中，有另一个名为system.webServer的部分。 为了ELMAH工作，这不得不说：

<system.webServer> 
    <handlers> 
    <add name="Elmah" verb="POST,GET,HEAD" path="elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" /> 
    </handlers> 
</system.webServer> 

我已经尝试了一些变化，但我无法使用上述解决方案，以防止 从“/blah/elmah.axd”加工。

任何关于使上述解决方案适用于IIS 7.x的建议？

谢谢。

Answer 3

如果您使用的是ASP.NET MVC，则需要让路由引擎忽略该路径。如果要移动到ELMAH为/admin/elmah.axd比如，你应该添加以下的Global.asax.cs：

routes.IgnoreRoute("admin/elmah.axd/{*pathInfo}"); 

Answer 4

在花了一段时间试图让这个由各个位拼凑工作来自每个答案的建议，我已经提出了一个适用于所有类型IIS的完整解决方案。

下面是需要在每个你的web.config部分：

<configuration> 
    <configSections> 
    <sectionGroup name="elmah"> 
     <section name="security" requirePermission="false" type="Elmah.SecuritySectionHandler, Elmah" /> 
     <section name="errorLog" requirePermission="false" type="Elmah.ErrorLogSectionHandler, Elmah" /> 
     <section name="errorMail" requirePermission="false" type="Elmah.ErrorMailSectionHandler, Elmah" /> 
     <section name="errorFilter" requirePermission="false" type="Elmah.ErrorFilterSectionHandler, Elmah" /> 
    </sectionGroup> 
    </configSections> 

    <elmah> 
    <!-- set allowRemoteAccess="0" for extra security --> 
    <security allowRemoteAccess="1"/> 
    </elmah> 

    <system.web> 
    <httpModules> 
     <add name="ErrorLog" type="Elmah.ErrorLogModule, Elmah" /> 
     <add name="ErrorMail" type="Elmah.ErrorMailModule, Elmah" /> 
     <add name="ErrorFilter" type="Elmah.ErrorFilterModule, Elmah" /> 
    </httpModules> 
    </system.web> 

    <system.webServer> 
    <modules runAllManagedModulesForAllRequests="true"> 
     <add name="ErrorLog" type="Elmah.ErrorLogModule, Elmah" preCondition="managedHandler" /> 
     <add name="ErrorMail" type="Elmah.ErrorMailModule, Elmah" preCondition="managedHandler" /> 
     <add name="ErrorFilter" type="Elmah.ErrorFilterModule, Elmah" preCondition="managedHandler" /> 
    </modules> 
    </system.webServer> 

    <location path="admin"> 
    <system.web> 
     <authorization> 
     <!--<allow users="Admin" /> --> 
     <deny users="?" /> 
     </authorization> 
     <httpHandlers> 
     <add verb="POST,GET,HEAD" path="elmah.axd" type="Elmah.ErrorLogPageFactory, Elmah" /> 
     </httpHandlers> 
    </system.web> 
    <system.webServer> 
     <handlers> 
     <add name="Elmah" path="elmah.axd" verb="POST,GET,HEAD" type="Elmah.ErrorLogPageFactory, Elmah" preCondition="integratedMode" /> 
     </handlers> 
    </system.webServer> 
    </location> 

</configuration> 

如果你正在使用ASP。网络MVC，在您的RegisterRoutes方法中添加

routes.IgnoreRoute("admin/elmah.axd/{*pathInfo}"); 

。