In Windows Server IIS wordt een aantal bestandsextensies standaard geblokkeerd. Omdat ze vaak gevoelige informatie bevatten mag je ze niet in de browser aanroepen, en dat wordt geblokkeerd met een foutmelding. In dit artikel vind je een overzicht van die bestandsextensies.

Standaard mag je een URL die eindigt op één van de volgende extensies niet aanroepen in de browser:

  • .ad
  • .adprototype
  • .asa
  • .asax
  • .ascx
  • .browser
  • .cd
  • .compiled
  • .config
  • .cs
  • .csproj
  • .dd
  • .dsdgm
  • .dsprototype
  • .exclude
  • .java
  • .jsl
  • .ldb
  • .ldd
  • .lddprototype
  • .ldf
  • .licx
  • .lsad
  • .lsaprototype
  • .master
  • .mdb
  • .mdf
  • .msgx
  • .refresh
  • .resources
  • .resx
  • .rules
  • .sd
  • .sdm
  • .sdmDocument
  • .sitemap
  • .skin
  • .ssdgm
  • .ssmap
  • .vb
  • .vbproj
  • .vjsproj
  • .vsdisco
  • .webinfo

Zo weet je wellicht dat ASP.NET configuratie-instellingen opslaat in een web.config-bestand, of dat je classic ASP en ASP.NET applicatie-opstartinstellingen kunt maken in global.asa– en global.asax-bestanden. Je wilt dus niet dat een kwaadwillende bezoeker jouw web.config-bestand bestand kan oproepen in de browser.

Wij hebben aan deze lijst .ini toegevoegd, ten behoeve van PHP-instellingen die je kunt maken, zoals het tonen van PHP foutmeldingen.

Roep je een URL aan dat eindigt met een dergelijke extensie (bijvoorbeeld: http://www.example.nl/web.config), dan geeft dat een foutmelding in de browser. Die foutmelding is:

HTTP Error 404.7 – Not Found
The request filtering module is configured to deny the file extension.

Let op: plaats geen gevoelige informatie, zoals wachtwoorden, in bestanden met een andere extensie zoals .inc!

Wat vind jij van dit antwoord?

Voor vragen kun je met ons chatten, mailen of bellen (050 211 0100)

Bedankt voor je feedback!

Er is een fout opgetreden. Probeer het later opnieuw.