Asp.net 应用程序数据-Web应用程序'；s数据目录。它有多安全？

在msdn文档的许多地方，您可以找到对App_数据目录的引用。例如，我们可以阅读：

要提高在ASP.NET应用程序中使用本地数据文件时的安全性，应将数据文件存储在App_数据目录中

及

存储在App_数据目录中的文件 将不会提供给Web

---

我找不到一个直接的参考来说明如何保证安全性。是否有任何IIS设置等，我应该注意以确保我们放在App_数据目录中的文件不会突然对所有人都可用。

在我脑海中，我想象它们的保护方式与.config文件相同。 这基本上意味着，这些项目的ASP.NET处理程序将返回一条“未提供此类型的页面”消息。它可能会返回404错误。

---

最安全的方法是不要将您的数据库存储在那里。

文件受禁止的文件处理程序保护。只要一切都在运行，这是安全的。ASP.NET处理程序可能会停止运行，只留下IIS运行。在这种情况下，您的web.config文件和aspx文件将作为纯文本文件使用

如果您的数据不是非常敏感，那么它是存储数据的好地方。如果您有高度敏感的数据，请将其存储在另一台计算机上

编辑：更多信息 您可以在此处阅读有关禁止的文件处理程序的更多信息。向下滚动时，您会注意到MDF的“root web.config”文件中有一个条目。您通常可以在计算机上的C:\Windows\Microsoft.NET\Framework\v2.0.50727\config中找到此文件

---

我找不到太多关于关闭asp.net同时仍保持iis运行的信息，但是如果你搜索“要求下载aspx”之类的术语，你可以找到有问题的人的报告（通常asp.net没有正确配置）这将允许利用漏洞进行攻击。我没有看到太多这种情况发生，但这是可能的。

谢谢鲍勃的回答。你能推荐一些关于这个主题的好文章吗？