Diverse applicazioni Web che ho testato hanno il comportamento che riservava i nomi di file Windows come AUX, CON, NUL, PRN, COM1, LPT1 hanno un comportamento diverso rispetto ad altre pagine. Ad esempio, http://example.com/foo darà un 404, dove http://example.com/aux darà un errore di 500.
Che cosa causa questo comportamento? Questo indica un problema di sicurezza?
Per impostazione predefinita su un server IIS, il percorso di un URL viene convalidato utilizzando le stesse regole che determinano se un percorso del file system Windows è valido. Quindi questo è il motivo per cui http://example.com/aux può dare un 500 (aux è un nome di directory non valido) ma http://example.com/foo a 404 (foo è ok). Questo comportamento può essere disabilitato impostando
relaxedUrlToFileSystemMapping = true in web.config.
Oltre a una possibile divulgazione di informazioni di piccole dimensioni che si sta eseguendo un server IIS non vi è alcun problema di sicurezza.
Leggi altre domande sui tag windows web-application file-system