Возможно ли, чтобы IIS (6 или 7.5) возвращал 404 Not Found (вместо того 403 Forbidden) когда запрашивается запрещенный список каталогов?
Служба сканирования безопасности, которую я использую, думает, что 403 выявляет что-то «потенциально конфиденциальное», хотя на самом деле это просто неверный URL. Мой обходной путь - отказаться от default.aspx в каждый каталог, который возвращает пустую страницу 404, но должен быть способ получше ...
Конечно. Настройте пользовательское сообщение об ошибке для 403.14, чтобы запустить простую страницу ASP, которая возвращает код ответа 404. 403.14 - это статус и субкод, используемые для «Отказано в списке каталогов».