Description
Значение по умолчанию: если для типа файла не установлен обработчик, файл при его запросе по протоколу HTTP отправляется клиенту.
Рекомендуемое значение: для всех неиспользуемых типов файлов, которые могут встретиться в приложении, рекомендуется установить обработчик System.Web.HttpForbiddenHandler.
Область действия: machine, site, application
Подробнее: в области действия приложения могут быть файлы различных типов, как исполняемые, которые передаются специальным обработчикам, так и служебные, которые используются приложением, но не должны быть переданы клиенту (например, xml-конфигурации). Для предотвращения передачи файлов клиентам в результате прямых запросов к ним следует назначить специальный обработчик, который вернет клиенту HTTP код “403 Forbidden”.