従来のASP.NETアプリケーションでは、*.configファイルはURLに移動してをダウンロードできません。しかし、新しいコンベンションはappsettings.jsonです。今、私がcontoso.comと呼ばれるASP.NET Core Webサイトを持っていて、それがC:\inetpub\websites\contoso.comというディレクトリからIISによって提供されていて、ファイルがC:\inetpub\websites\contoso.com\appsettings.jsonにある場合... IISは、もし誰かhttps://contoso.com/appsettings.jsonにナビゲートしますか?IISによってappsettings.jsonが保護されていますか?
ファイルは、通常、 "wwwroot"フォルダから提供されます。 appsettings.jsonファイルは、C:\inetpub\websites\contoso.com\をあなたのアプリのWebルートに設定していない限り、安全です。既定では、静的ファイルはC:\inetpub\websites\contoso.com\wwwroot\にあります。この優れたドキュメントをお勧めします:https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files
ところで、特に設定されていない限り、IISはファイルシステムをチェックしません。これは、実際にはASP.NETコアで、ファイルが「wwwroot」フォルダからのみ提供されるようにします。一般的なASP.NET コアのWebサイトは実際にはIISがASP.NETコアモジュール経由でプロキシをリバースする別のWebサーバーとして実行されています。つまり、すべてのリクエストはASP.NETコアによって処理されます。静的ファイルを提供するには、Microsoft.AspNetCore.StaticFilesパッケージで使用可能な静的ファイルミドルウェアを使用する必要があります。