使用RouteExistingFiles属性限制对文件夹的访问

最新推荐文章于 2024-01-09 11:53:02 发布
最新推荐文章于 2024-01-09 11:53:02 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: IIS MVC3 文章标签: mvc filter action route
MVC3 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
IIS
6 篇文章 0 订阅
订阅专栏

RouteExistingFiles 属性

          当用户请求如图片、视频等静态文件资源时,asp.net会很高兴的定位文件位置并提供给用户,除非我们做了某些限制。有时我们需要做一些限制只能让所有者访问而不能让其他用户访问,一种简单的情况是通过web.config 文件配置进行限制,但在复杂的情况下,如果能够通过action/filter控制访问权限将是不错的选择,为了实现这个目的需要将静态文件请求通过MVC pipeline 进行处理,而MVC的RouteExistingFiles属性恰好能做到,通过将RouteExistingFiles属性设置为true,MVC将处理这些请求,而不是由iis处理这些静态文件请求。

      下面讨论如何实现,例如:

下面是 Global.asax.cs文件

1
2
3
4
5
6
7
8
9
10
public static void RegisterRoutes(RouteCollection routes)
{
     routes.IgnoreRoute( "{resource}.axd/{*pathInfo}" );
 
     routes.MapRoute(
         "Default" ,
         "{controller}/{action}/{id}" ,
         new { controller = "Home" , action = "Index" , id = UrlParameter.Optional }
     );
}

设置RouteExistingFiles = true,禁止 IIS 处理这些存在的静态文件请求并发送结果

1
2
3
4
5
6
7
public static void RegisterRoutes(RouteCollection routes)
{
     routes.IgnoreRoute( "{resource}.axd/{*pathInfo}" );
 
     routes.RouteExistingFiles = true ;
     ...
}

下一步,需要定义一个新的路由处理这些情况,URL模式部分看起来比较象物理路径,但不用如此,这里只是个例子.

1
2
3
4
5
routes.MapRoute(
     "photo" ,
     "premium/photos/{accountNo}/{image}" ,
     new { controller = "Photo" , action = "Index" }
);

如你所想,我们需要新建controller和action ,index方法将返回请求的完整路径.

1
2
3
4
5
6
7
public class PhotoController : Controller
{
     public FileResult Index()
     {
         return File(Request.RawUrl, "image/jpeg" );
     }
}

但我们的index方法仍然不安全,需要添加验证,通过自定义authorize 属性 ,这个自定义属性通过检查url中的accountNo 和存在session的accountNo作对比,如果不匹配,则返回401

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
public class PhotoAuthorizeAttribute : AuthorizeAttribute
{
     protected override bool AuthorizeCore(HttpContextBase httpContext)
     {
         if ( base .AuthorizeCore(httpContext))
         {
             var accountNo = httpContext.Request.RequestContext.RouteData.Values[ "accountNo" ];
 
             if (accountNo != null && httpContext.Session[ "AccountNo" ].ToString() == accountNo.ToString())
             {
                 return true ;
             }
 
             return false ;
         }
 
         return false ;
     }
}

我们需要给返回静态文件资源的action加上自定义权限验证属性PhotoAuthorize attribute.

1
2
3
4
5
[PhotoAuthorize]
public FileResult Index()
{
     return File(Request.RawUrl, "image/jpeg" );
}

但有一个重要的问题是,一旦把RouteExistingFiles属性设置为true,Content文件夹下的styles 和 javascript 的文文件同样会被阻止,这是个大问题,这个属性的影响是全局的,那如何发送这些css, js文件?为它们单独创建controller和action是个不好的方法,幸运的是还有IgnoreRoutemethod方法可以方便解决这个问题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
public static void RegisterRoutes(RouteCollection routes)
{
     routes.IgnoreRoute( "{resource}.axd/{*pathInfo}" );
 
     routes.IgnoreRoute( "Content/{*relpath}" );
 
     routes.RouteExistingFiles = true ;
 
     routes.MapRoute(
         "photo" ,
         "premium/photos/{accountNo}/{image}" ,
         new { controller = "Photo" , action = "Index" }
     );
 
     routes.MapRoute(
         "Default" ,
         "{controller}/{action}/{id}" ,
         new { controller = "Home" , action = "Index" , id = UrlParameter.Optional }
     );
}

IgnoreRoute 告诉路由模块 routing module 不要处理这些请求,请注意:需要在RouteExistingFiles=true之前调用ignoreroute方法。.

避免客户端缓存

最后一个问题就是浏览器缓存。浏览器会缓存图片,未授权用户能够看到这些缓存的受限图片,通过 OutputCache attribute告诉浏览器不要缓存这些图片即可

1
2
3
4
5
6
[PhotoAuthorize]
[OutputCache(NoStore = true , Duration = 0, VaryByParam = "None" )]
public FileResult Index()
{
     return File(Request.RawUrl, "image/jpeg" );
}


kufeiyun
关注
专栏目录
asp.net mvc RouteCollection的RouteExistingFiles属性理解
dz45693的专栏
11-19 3492
RouteCollectiond的RouteExistingFiles属性一看这个名字,我想大家就能猜出来它的意思,对静态资源是否启用路由。我在Asp.net Web.config文件读取路径你真的清楚吗?里面做demo时遇到这样一个问题: 项目结构如下: 我原本是用来让程序读views/channel/men/web.config文件,当我添加了men文件夹后,整过路由都出错了。 我的
ASP .Net MVC5 使用文件路径访问视图文件的方法
落羽成舟-博客
11-24 1921
基础需知 1、MVC中的控制器都继承与System.Web.Mvc.Controller,通过重写此类的OnActionExecuting方法可以达到拦截器的功能(此方法是在本Controller的所有Action执行之前执行)。 2、MVC的路由配置中,如果花括号内第一个字符是*,表示是可变长度的路径,如:A/{*url}可以匹配到A/abc和A/aa/aaa等。其中的字符url可以替换为任...
ASP.NET MVC RouteExistingFiles
weixin_33756418的博客
02-26 118
遇到这样一个问题:项目是 MVC,但也包含 WebForm 的页面,RouteConfig 中设置了这样一个路由: routes.MapRoute( name: "SubjectIndex", url: "zt", defaults: new { controller = "Subject", action = "Index" } ); Web 应用程序下有一个 zt 目录...
计算机硬盘中的文件夹禁止访问,还在担心重要文件被人看到?磁盘禁止访问了解一下...
weixin_34079177的博客
07-15 881
电脑中经常会保存一些重要文件,即使使用隐藏,也有可能被人找到,为了安全起见,我们可以将磁盘设置成禁止访问状态,这样就无法进入磁盘,从而不怕被人看到重要文件。那么XP系统要如何设置禁止访问本地磁盘呢?别着急,下面小编就跟大家分享一下XP系统禁止访问本地磁盘的方法。详细如下1、“win+R”打开运行窗口;2、在“打开”框中键入 Gpedit.msc,然后单击“确定”。3、此时打开了组策略界面,依次展开...
关于MVC RouteExistingFiles疑问
Travelling1006的专栏
01-24 146
如图,使用ajpg模拟静态资源。使用 routes.RouteExistingFiles = true; 使静态资源也Map Route,匹配不到则显示Not Foud。 ①/a.jpg:访问不到 ②/Theme/a.jpg:访问不到 ③/Areas/Admin/a.jpg:访问不到 ④/Areas/Admin/Theme/a.jpg:可以访问到 why? 转载于:https://...
ASP.NET MVC 阻止通过URL访问服务器上的静态资源文件
机械键盘侠博客
07-12 4424
背景 在默认情况下,MVC框架是支持对服务器静态资源的访问的,我们在项目根目录下新建一个Content文件夹,然后添加一个命名为“StaticContent.html”的html文件,如下图所示: StaticContent.html中的代码如下图所示: <!DOCTYPE html> &...
ASP.NET MVC 访问静态文件
anbian4201的博客
04-23 1196
When use asp.net MVC, we can add a special route to access the image files. the code like below: 1. in RouteConfig.cs file, add the code marked in yellow. using System; using System.Collection...
剖析Asp.Net路由系统实现原理
10-20
- RouteExistingFiles 属性被设置为 true,意味着即使URL请求指向一个存在的物理文件,路由系统也会对其进行处理。 - 默认值(defaults)通过RouteValueDictionary设置,为路由模板中的变量提供了默认值,因此即使...
《ASP.NET Web API 2框架揭秘》源码示例
09-01
S206 RouteCollection和Route的RouteExistingFiles属性对路由的影响 S207 注册需要被忽略的路由地址(未注册) S208 注册需要被忽略的路由地址(已注册) S209 通过注册的路由生成相应的URL(ASP.NET路由) ...
asp.net routing html文件不能访问,ASP.NET MVC 阻止通过URL访问服务器上的静态资源文件...
weixin_29623163的博客
06-23 551
背景在默认情况下,MVC框架是支持对服务器静态资源的访问的,我们在项目根目录下新建一个Content文件夹,然后添加一个命名为“StaticContent.html”的html文件,如下图所示: StaticContent.html中的代码如下图所示:This is the static html file(~/Content/StaticContent.html)运行项目,输入URL,可以看到能...
电脑文件夹拒绝访问如何解决?
最新发布
Xbtdj的博客
01-09 4415
文件夹拒绝访问的问题是许多计算机用户在日常使用中可能会遇到的常见问题。当用户试图打开、读取、写入或修改一个文件夹时,可能会遇到“拒绝访问”的错误消息。通过采取这些措施,用户可以降低文件夹拒绝访问的风险,并避免数据丢失。【恢复步骤2】:软件扫描完成后会列出这个盘的数据,在软件中勾上需要恢复的数据,再点了《另存为》将文件复制出来。如果不打算保留文件夹中的文件,解决“文件夹拒绝访问”问题的方法将会有所不同。【恢复步骤1】:下载并打开恢复软件,在软件中选择需要恢复的盘,再点《开始恢复》,软件会扫描这个盘的数据。
关于MVC RouteExistingFiles疑问后续
Travelling1006的专栏
01-27 107
前两天写了《关于MVC RouteExistingFiles疑问》,本来希望寻求大佬快速解答,奈何无人问津。 只能查看.NET 源代码,可以使用反编译工具(我用IL spy),也可以在线查看微软提供的:https://referencesource.microsoft.com/MVC的路由会走UrlRoutingModule,代码在 System.Web/Routing/UrlRout...
MVC ——RouteTable.Routes的使用
weixin_34050427的博客
07-05 1586
public class RouteTable { // Fields private static RouteCollection _instance = new RouteCollection(); // Properties public static RouteCollection Routes ...
ASP.NET的路由系统
eqera的专栏
12-27 7357
一、URL与物理文件的分离 1、URL与物理文件的分离 对于一个 ASP.NET Web Form应用来说,任何一个请求都对应着某个具体的物理文件。部署在Web服务器上的物理文件可以是静态的(比如图片和静态HTML文件等),也可以是动态的(比如.asxp文件)。对于静态文件的请求,ASP.NET直接返回文件的整个内容;而针对动态文件的请求则会触发相关代码的执行,并最终返回执行后的结果。
asp.net Mvc 访问静态页面
AI时代——精细化设计
07-10 1425
Global文件的RegisterRoutes方法里加入 routes.RouteExistingFiles=false; 意思是:路由现有的文件设置为false,访问现有的文件就不经过路由了。 源代码: publicstaticvoidRegisterRoutes(RouteCollection routes)        {            routes.IgnoreRoute
(一) 路由解析
bradleydan的专栏
09-26 1450
1.  Default.aspx页面代码如下: public void Page_Load(object sender, System.EventArgs e) { // Change the current path so that the Routing handler can correctly interpret
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值