Решение:

В web.config вставить в конец

<location path="XmlData">
<system.web>
<authorization>
<deny users="*"/>
</authorization>
</system.web>
</location>

 

Опубликовано в ASP.NET