只要Web服务器上没有安装UrlScan工具,上面的例子就可以毫无问题地运行。UrlScan工具随同IIS Lockdown工具一起发行,它的功能是禁止向Web服务器发送非法的请求。默认情况下,UrlScan工具认为包含执行文件的URL都是非法的,因此如果Web服务器上安装了UrlScan,对http://localhost/CodeDownloadDemo/loader.exe的访问将被禁止。
要检查系统中是否已经安装了UrlScan工具,可以在控制面板中打开“添加或删除程序”,查看“当前安装的程序”清单。
另外,我们还可以修改UrlScan的默认配置,使其允许对执行文件的请求,即修改一下UrlScan用来检测合法/非法请求的INI配置文件。UrlScan的配置文件保存在c:/windows/system32/inetsvr/urlscan/urlscan.ini,下面是该文件的一个片断:
|
这个配置文件片断中,.exe文件扩展名已经改成了.was_exe,表示.exe扩展名不再被禁止。但必须注意的是,这是解除UrlScan限制的一种简便方法,可能带来安全风险。对于正式为用户提供服务的Web服务器,修改配置之前务必阅读UrlScan的文档或询问网络管理员。
修改UrlScan的INI配置文件之后,必须重新启动IIS服务器,才能让修改生效。例如,在命令行环境中执行IISRESET.exe就可以重新启动IIS服务器。