asp.netWebForm未授权访问服务器资源问题

已于 2024-07-27 02:01:36 修改
阅读量114 收藏
点赞数 3
文章标签: asp.net 后端
于 2024-07-27 02:01:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43893277/article/details/140727725
版权

asp.netWebForm未授权访问服务器资源问题

问题描述

在未授权的情况,可以随意在地址栏访问到服务器的pdf

解决方案:

1、webconfig

name=“PdfHandler”:指定处理程序的唯一名称。
path=“.pdf":定义此处理程序将处理的请求路径,这里是任何以 .pdf 结尾的请求。
verb="”:指定此处理程序将响应的 HTTP 方法类型,星号 * 表示接受所有类型的方法(如 GET、POST 等)。
type=“DTcms.Web.Security.PdfHandler, DTcms.Web”:指定处理程序的完全限定类型名和所在的程序集,这里 PdfHandler 类位于 DTcms.Web 程序集的 DTcms.Web.Security 命名空间下。
resourceType=“Unspecified”:指定处理程序所处理的资源类型。Unspecified 表示没有具体指明资源类型,可以是任意类型的资源。

  <system.webServer>
	  <handlers>
		  <add name="PdfHandler" path="*.pdf" verb="*" type="DTcms.Web.Security.PdfHandler, DTcms.Web" resourceType="Unspecified" />
	  </handlers>
  </system.webServer>

2、新建一个一般处理程统一处理pdf资源的请求

    public class PdfHandler : IHttpHandler, IRequiresSessionState
    {
        public void ProcessRequest(HttpContext context)
        {
            // 获取请求的路径
            string filePath = context.Request.Path;

            // 提取动态部分:日期和文件ID
            string[] pathParts = filePath.Split(new char[] { '/' }, StringSplitOptions.RemoveEmptyEntries);
            if (pathParts.Length < 3)
            {
                context.Response.StatusCode = 400; // Bad Request
                context.Response.End();
                return;
            }

            string yearMonth = pathParts[1]; // 例如:202407
            string fileId = pathParts[2].Replace(".pdf", ""); // 例如:54302406172689

            // 构造实际文件路径
            string physicalFilePath = GetFilePath(yearMonth, fileId);

            // 检查用户是否授权
            if (!UserIsAuthorized(context))
            {
                context.Response.StatusCode = 403; // Forbidden
                context.Response.End();
                return;
            }

            // 确保文件存在
            if (!File.Exists(physicalFilePath))
            {
                context.Response.StatusCode = 404; // Not Found
                context.Response.End();
                return;
            }

            // 设置响应类型
            context.Response.ContentType = "application/pdf";
            context.Response.AddHeader("Content-Disposition", "inline; filename=" + Path.GetFileName(physicalFilePath));
            context.Response.WriteFile(physicalFilePath);
            context.Response.End();
        }

        private string GetFilePath(string yearMonth, string fileId)
        {
            // 根据日期和文件ID构造实际文件路径
            return HttpContext.Current.Server.MapPath("~/tjbg/" + yearMonth + "/" + fileId + ".pdf");
        }

        private bool UserIsAuthorized(HttpContext context)
        {

            // 实现你的授权检查逻辑
            return IsAdminLogin(context);
        }
     
        public bool IsReusable
        {
            get { return false; }
        }
    }
强壮的小白菜
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IIS网站出现401授权访问
07-29 2726
1.登录网站服务器——>找到对应的网页目录——>在该目录上点击鼠标右键——>选择“属性”——>在弹出的“属性”对话框中,切换到“安全”选项卡中——>点击网页浏览使用的“User”用户组——>在“读取和运行”、“读取”、“列出文件夹和目录”前面打上勾,赋予足够的浏览权限即可;2.设置当前的身份验证。...
在外网通过服务器公网IP访问IIS发布ASP.NET网站
GrantF的博客
09-05 8885
在把网站部署在服务器的IIS上以后,我就开始浏览我的网站了。如果不会部署,可以看我ASP.NET MVC网站部署在阿里云服务器(WindowsServers2012+IIS6.0环境)。 在我的预想中当然是一帆风顺了,这种情况在理想中总是丰满的,但是在我写代码的人生中却从来没有出现过,很骨感!出现的错误如下:我在服务器中可以访问到自己的网站,但是在自己电脑网络访问服务器公网IP加网站端口却无法访问
授权访问漏洞测试方法及修复方案
热门推荐
weixin_42728957的博客
04-28 3万+
1、漏洞描述 授权访问漏洞,是在攻击者没有获取到登录权限或授权的情况下,不需要输入密码,即可通过输入网站控制台主页面地址或者不允许查看的连接便可进行访问,同时进行操作。 2、漏洞检测 通过抓包工具(burpsuite、fiddler等),将抓取到的功能链接,在其他浏览器进行打开。 3、修复方案: 加入用户身份认证机制或token验证,对系统的功能点增加权限控制。 <1> 采用Jav...
网页提示认证授权的应用服务器,授权认证(IdentityServer4)
weixin_28695161的博客
07-31 3358
区别OpenId: Authentication :认证Oauth: Aurhorize :授权输入账号密码,QQ确认输入了正确的账号密码可以登录 --->认证下面需要勾选的复选框(获取昵称、头像、性别)----->授权OpenID当你需要访问A网站的时候,A网站要求你输入你的OpenId,即可跳转到你的OpenId服务网站,输入用户名和密码之后,再调回A网站,则认证成功。OAuth2...
500 - 内部服务器错误. 您要查找的资源有问题,无法显示.,HTTP 500 - 内部服务器错误 Internet Explorer【转】...
weixin_27282525的博客
08-11 5014
HTTP 500 - 内部服务器错误 Internet Explorer【转】访问ASP网站时总是提示:“500 - 内部服务器错误。您要查找的资源有问题,无法显示。”上面显示的是IIS的友好报错,按下面的步骤把详细错误显示出来!解决方法:1、进入点晴OA所在的服务器,进入:开始-》控制面板-》管理工具-》Internet 信息服务(IIS)管理器,打开IIS,在功能视图中找到“错误页”,双击进...
Tomcat-授权访问-CVE-2020-1938
weixin_43071873的博客
11-20 2746
漏洞概括: 由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件 影响范围: Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 漏洞利用: Poc:https://github.com/nibiwodong/CNVD-2020-1
asp.netcore 关于静态文件的访问权限控制(UseStaticFiles)
gnsyhxg的博客
05-18 8713
通常一般的js、css、image都需要公开访问权限。 .那么如何在asp.net core中进行开放这个权限呢?具体微软官网有说明,网址如下。 微软文档说明 说的很细致,但是一般人没耐心去从头到尾看。这里简单说明一下 wwwroot中的文件,可以在Startup类的Configure 方法中添加以下语句: app.UseStaticFiles(); 而外需要说明的是,如果该静态文件不再wwwro...
HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容——错误代码:0x00000000
zouxun660的博客
10-19 7712
最近在课上学习IIS发布.NET Core项目出现HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容——错误代码:0x00000000
Temporary ASP.NET Files 写访问权限
菜鸟厚非
12-13 8661
介绍 如图错误,详细许多小伙伴都非常熟悉,是在 ASP.NET Framework 部署到 IIS 访问时出现的错误,这个错误出现的原因也非常简单,就是没有文件夹与没有文件的权限。 解决方案 如图,我们在 IIS 部署的 ASP.NET Framework 程序 ,端口绑定 10001 ,我们这里以 Nuget Server 为例 访问 http://127.0.0.1:10001/,可以看到出现了 Temporary ASP.NET Files 写访问权限的问题 接着我到,保错误的文件夹中,可以看
访问网站提示:您授权查看该页恢复办法
wwwwestcn的博客
06-24 5609
访问网站提示:您授权查看该页恢复办法
基于Asp.netWebform体育成绩管理系统
12-16
基于Asp.netWebform体育成绩管理系统 框架html + css + jquery+ asp.net + webform + sql server 用户类型 管理员 admin 123456 普通用户 qqq 123456 模块介绍 管理员 登录模块 用户管理 比赛管理 成绩管理 ...
基于Asp.netWebform体育成绩管理系统框架html + css + jquery+ asp.net
12-16
基于Asp.netWebform体育成绩管理系统 框架html + css + jquery+ asp.net + webform + sql server 用户类型 管理员 admin 123456 普通用户 qqq 123456 模块介绍 管理员 登录模块 用户管理 比赛管理 成绩管理 ...
10-asp.netwebform揭秘2
05-14
例如,对于一个名为`WebForm1.aspx`的文件,运行时将会有一个名为`ASP.webform1_aspx`的类被创建。这个类是动态生成的,用于构建和呈现网页内容。通过查看反编译后的代码,可以看到ASP.NET框架实际上是将ASPX文件中...
基于Asp.netWebform游泳锦标赛成绩管理系统 框架html + css + jquery+ asp.net
12-16
基于Asp.netWebform游泳锦标赛成绩管理系统 框架html + css + jquery+ asp.net + webform + sql server ALTER DATABASE YYS SET SINGLE_USER WITH ROLLBACK IMMEDIATE; ALTER DATABASE YYS COLLATE Chinese_PRC_CI_...
ASP.NET MVC
weixin_47249500的博客
07-22 641
ViewStart.cshtml是一个全局的布局文件,程序中每个.cshtml页面都会默认使用_ViewStart提供的布局。同时.NET Framework 提供了多种技术框架,ASP.NET MVC是.NET Framework提供的众多技术框架中的一种,用于开发Web应用。ASP.NET MVC框架使用了约定大于配置的思想,按照框架约定的结构组织文件,浏览器请求某个Controller方法时,该方法默认返回与方法同名的.cshtml文件,浏览器接收.cshtml并渲染页面。.cshtml文件同名。
postman请求响应加解密
w_lo__o的博客
07-26 198
部分接口,需要请求加密后,在发动到后端。同时后端返回的响应内容,也是经过了加密。此时,我们先和开发获取到对应的【密钥】,然后在postman的预执行、后执行加入js脚本对明文请求进行加密,然后在发送请求;响应回来后,后执行会解密响应内容。
实现一个全栈模糊搜索匹配的功能
最新发布
前端原创分享,常年坚持记录和分享,全网阅读量超百万
07-27 162
提供一个全栈实现的方案,包括 Vue 3 前端、Express 后端和 MySQL 数据库的分类模糊搜索功能。
nginx的配置和使用
AReallyMan的博客
07-23 470
server_name要监听的服务地址,可能是ip,也可能是域名,如果是ip则只有符合ip+端口才会被监听,如果是域名(域名已经指向了一个端口)则符合这个域名或者这个域名的一部分也会被监听,如果域名指向的端口和Listen的不一样则不监听。3、upstream tomcat_server这里是后台的服务地址,tomcat_server是自定义命名的服务名称,当location 配置了。2、在1条件满足下,会进入Location,可以对不同的url进行设置,比如完全匹配,前后缀匹配,部分匹配。
SpringCloud+Vue3多对多,多表联查
小宋和大家一起在学习和前进的道路上分享、努力
07-27 782
♥️作者:小宋1021🤵‍♂️:小宋1021主页♥️坚持分析平时学习到的项目以及学习到的知识,和大家一起努力呀!!!🎈🎈加油!加油!加油!加油目的:多表联查数据库:学员表(study_student) 字段:学生姓名(sts_student_name)、手机号(sts_phone)班级管理(teach_class_manage)字段:班级名称(teach_class_manage)、id(id)教师管理(hr_teacher_manage)字段:教师姓名(teacher_name)
ASP.NETCore入门与进阶指南
"asp.netcore.pdf" 是一份关于ASP.NET Core的基础知识介绍,涵盖了从入门到高级主题的广泛内容。这份资料整理了微软官方对ASP.NET Core的详细解释,旨在帮助学习者提升技能。 ASP.NET Core是微软推出的一个开源、跨...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值