Хотя я бы никогда не установил это разрешение, я хотел бы знать, как может быть скомпрометирован статический html-сайт с разрешением, указанным в заголовке.
По моему скромному мнению, я предполагаю, что это не будет представлять угрозы, поскольку посетитель Интернета не имеет возможности загружать / редактировать / удалять что-либо.
Что, если бы это был простой веб-сайт на PHP, который просто отображал «привет, мир»? Что, если бы на этом PHP-сайте была форма связи, которая была должным образом обработана?
Спасибо
РЕДАКТИРОВАТЬ: Я должен упомянуть, что ограничение IIS только запросами GET и POST, иначе люди могут удалять и загружать контент.
Проблема не только в странице, но и в движке, на котором она размещена.
Может быть уязвимость IIS, используемая данными GET или POST в начальном запросе, который предоставляет данные, которых не должно быть, еще до того, как они дойдут до статического содержимого. Так же, как HeartBleed предоставляет данные из памяти сервера, независимо от фактического содержания ответа.
Что касается PHP - все ставки сняты. PHP имеет долгую историю уязвимостей (как и любой препроцессор на стороне сервера делает).
Я бы сказал, что динамические страницы, которые обслуживает ваш сервер, представляют собой гораздо большую поверхность атаки, чем эксплойты, которые не полагаются на выполнение сервером определенной страницы, но это не означает, что они не существуют (см. : Heartbleed).