IIS网站安全措施

1. 关闭IIS目录浏览，增加如下节点

<system.webServer>

<directoryBrowse enabled="false" />

<system.webServer>

1. 服务器端严格限制文件上传类型，服务端判断文件后缀名范围
2. 登录参数加密传输，同IP每小时登录错误10次锁定，同账号每小时登录错误5次锁定，记录登录日志
3. 无登录API接口增加校验码，隐藏参数(不明文写在Action参数里面)，判断错误参数
4. 无登录上传文件根据情况增加校验码
5. 删除http服务文件夹的.map后缀名文件
6. Sql命令参数化，不将字符串拼接到sql命令的一部分，防止sql注入攻击。数字逗号分隔集合用验证数字组成，字符串逗号分隔集合用空格和长度验证，出现单引号为非法
7. 地图服务限制跨域范围
8. 上传的临时文件和导出的临时文件及时删除，防止泄露
9. 错误重定向，配置iis错误页重定向，同时更改如下节点的值

<system.webServer>

<httpErrors errorMode="DetailedLocalOnly" />

<system.webServer>