Ho intenzione di inquadrare questa domanda usando ASP.NET Core poiché è quello che sto usando, anche se la mia domanda è applicabile a qualsiasi scenario in cui si ha un client che effettua richieste a un server che memorizza file statici.
Nel Microsoft doc su come ordinare il middleware in un ASP Applicazione .NET core , specifica:
The static file middleware is called early in the pipeline so it can handle requests and short-circuit without going through the remaining components. The static file middleware provides no authorization checks. Any files served by it, including those under wwwroot, are publicly available. See Work with static files for an approach to secure static files.
Posso vedere che sarebbe utile ignorare l'autenticazione
-
per servire questi file più velocemente.
-
perché questi file statici (costituiti principalmente da HTML, CSS, JavaScript e vari tipi di file di immagine non sono in alcun modo offuscato sul client ( per utenti autenticati , attenzione).
Tuttavia, c'è una parte di me che pensa di permettere a tutti questi file di essere pubblicamente disponibili considerando che è necessario essere autenticati per poter accedere al sito. Dato che questi file statici contengono molti script del sito e altre risorse, un utente non autenticato che normalmente non è in grado di interagire con l'applicazione può vedere improvvisamente molto del funzionamento del front-end.
Esistono informazioni contenute in file statici che potrebbero essere utili per un utente malintenzionato, ad esempio un'immagine parzialmente completa della base di codici front-end? La mia ipotesi è no, perché se così fosse, allora questo implica che ci fidiamo di tutti gli utenti autenticati a non usare queste informazioni maliziosamente. Tuttavia, volevo essere sicuro chiedendo qui.