Note：此處不是許可權設定問題，此處不是許可權設定問題，此處不是許可權設定問題！只是出於資料或者網路安全，禁止掃描工具直接掃描到某些包含敏感資訊的檔案，尤其比如日誌、配置等

預設ASP.NET已經考慮到了一些安全問題，比如.config字尾的配置檔案，比如.cs的原始碼檔案，比如.log的日誌檔案，這些預設都是全域性設定，但還有些NET沒幫我們設定，比如.xml字尾，比如.txt字尾，這些檔案裡面往往也可能包含著關鍵資訊，這時候我們可以通過IIS進行設定

開啟IIS，選中你的專案，然後在右側的功能檢視介面找到 請求篩選 部分，如下圖

雙擊它，可以開啟如下介面

可以看到有很多進行訪問設定的配置，而我們一般常用的就兩樣，一個就是 副檔名 設定，還有一個就是隱藏段 設定，以xml為例，如果要禁止可以被瀏覽器訪問，那麼可以通過在 副檔名 設定介面右鍵新增被拒絕的副檔名，如下圖

當然通過設定副檔名的方式會導致整個站點下的所有對應型別檔案都被禁止訪問，如果你只是希望某些檔案被禁止訪問，那麼你可以通過 隱藏段 設定，該設定是設定某個目錄下的檔案禁止被訪問，注意這裡只能設定站點下的根目錄或者根檔案，如下圖

當這些配置做完之後，你在瀏覽器裡進行訪問時，就會得到40X提示，被設定過的檔案已經被禁止訪問了
這時候我們反過來看下站點裡面的web.config，可以看到裡面被自動添加了一些節點，所以如果有需要，你也可以直接在專案裡面輸入這些設定，無需通過IIS來進行配置，最終結果都是一樣的

--------------------- 
作者：娃都會打醬油了 
來源：CSDN 
原文：https://blog.csdn.net/starfd/article/details/50129921 
版權宣告：本文為博主原創文章，轉載請附上博文連結！