Есть ли способ настроить Web.config, чтобы запретить любой доступ к службе ASP .axd, кроме как с localhost?
Не в web.config, но если вы перейдете к файлу / папке в диспетчере IIS, который хотите защитить, щелкните его правой кнопкой мыши> Свойства> вкладка Безопасность файла (или каталога)> Изменить в разделе «Ограничения IP-адреса и доменного имени», вы можете нажать «Запрещенный доступ» и добавить IP-адрес сервера в список адресов (127.0.0.1 не будет работать, так как он не будет подключаться с этого IP-адреса к веб-сайту). Это заблокирует всех, кроме локального сервера. Вы также можете добавить настраиваемую страницу с ошибкой HTTP 403.6 на эту страницу, если хотите скрыть причины отказа от страницы со стороны клиента.