100分问一个使用URL安全访问非.aspx文件的问题??在线等

jonsonzxw 2003-04-18 11:43:49
在网上,经常有需要经过了验证的用户才能访问的一些非.aspx类型的文件,如.jpg,.doc,.zip等等,但对于这些文件,一般用户可以通过http://www.website.com/files/pictures/test.jpg的方式来绕过验证直接进行访问,因为匿名用户是允许访问这类文件的,如何才能有效的避免这种情况的发生呢?
...全文
65 13 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
13 条回复
切换为时间正序
请发表友善的回复…
发表回复
dotAge 2003-04-19
  • 打赏
  • 举报
 回复
老牛呀,URL本来就是用来被别人访问的,如果你的东西因为被人猜到了URL而被偷,这只能怪你自己,谁让你把它放那儿的呢?

将文件放在一个安全的地方,然后读到文件流,再写到HTTP RESPONSE流
以JPG为例:

Dim MyFileStream As FileStream
Dim FileSize As Long

MyFileStream = New FileStream("/private/aPic.jpg", FileMode.Open)
FileSize = MyFileStream.Length

Dim Buffer(CInt(FileSize)) As Byte
MyFileStream.Read(Buffer, 0, CInt(FileSize))
MyFileStream.Close()

Response.ContentType = "Image/JPEG"
Response.BinaryWrite(Buffer)
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
我对上面讲到的使用ID的方式比较感兴趣,不知如何操作.

另外,请问韦小宝的老乡,你的那种方式能具体一些吗?我没操作过AD.
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
我在网上找到一篇这样的文章,但不知具体如何操作,请告之,谢谢!!

On Window OS, security are basically enforced through a Window account and ACL (there is no way around it). If your resource are programmable (such as ASP, ASP.NET) then you can include your own custom logic to enforce security. If your resource are non-programmable, then you can only rely on the Window security feature to protect your resource. For web application/portal, Microsoft Site Server would be the recommended solution.

Alternatively, you can assign an ID to each of your resource. When an authenticated user submit the ID to your application, then in your code, you can open the file and send out the content. This way, the user will never actually know the real path/name of your resource, but just only the ID. I found that this is a common solution in many portal application.

I have implemented such a similar security and you can test and download the source code at http://www22.brinkster.com/ttawin/registration/ . If somehow you can download the zip file without login, then please let me know. Thanks.
WizardBear 2003-04-18
  • 打赏
  • 举报
 回复
改后缀为.asp或.aspx

然后再定制权限
cmsoft 2003-04-18
  • 打赏
  • 举报
 回复
那你存放这些文件里设置权限,给合AD进行访问就是了
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
是以文件的形式存放的,不是存到库中的
cmsoft 2003-04-18
  • 打赏
  • 举报
 回复
test.jpg以image类型放到数据库中不就行了?
shanxing 2003-04-18
  • 打赏
  • 举报
 回复
不懂~~~
也帮你顶一下`~~~
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
UP一下
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
表单验证好象对非.aspx文件无效果吧,老兄,如何设置呀,如.jpg文件
9527cn 2003-04-18
  • 打赏
  • 举报
 回复
其实你提到的问题是一个安全性的问题,微软也一直被许多人指责为不负责任的公司,对于url来说他本身是一个极为不安全的入口,以前的黑客就曾经利用他攻击机器。这里其实没有什么特别安全的解决方法,能够彻底解决此问题,不过还是有四种方法的:
1、表单验证:通过他可以HttpCookies和Html表单来对请求者进行身份验证,(可以针对任何资源进行身份验证)---你可以用他试试

2、“护照”验证:使用MicroSoft专门的签名护照身份系统
3、Windows验证:通过WindowsChallenge/Response语义来对请求进行验证
4、自定义验证。


表单验证:
对你的web.config修改:
<system.web>
<authenrication mode = "Forms">
<forms name = "cookie-name"
path= "cookie-path"
loginurl= "url"
protection = "ALL|None|Encryption|Validation"
timeout = "number-of-minutes">
<credentials passwordFormat ="Clear|Sha1|MD5"> --这里是对用户密码指定加密算法
<user name = "User_name" password = "User_passwd">
.....
</credentials>
这些是用来验证用户的
限制资源访问是在web.config中添加
<system.web>
<authorization>
<allow users = "User_name,..." verb = "GET"/>
<allow users = "Other_user,..." verb = "POST"/>
<deny users = "?"/>
</authorization>
</system.Web>
其实现在很多应用情况下我们验证客户都不会将用户的列表放入<credentials>中,可能放在数据库表、XML文档中,但是我们可以利用基于表单的验证所提供的其它功能,比如自动重定向到注册页面,加密,检验验证,cookie的有效性。
有兴趣的话你可以去看看类库的System.Web.Security命名空间下的所有的类(都是安全验证的)表单验证的类称为FormsAuthenricarion。
jonsonzxw 2003-04-18
  • 打赏
  • 举报
 回复
up
abkn2 2003-04-18
  • 打赏
  • 举报
 回复
改后缀,.aspx
URLRewrite隐藏.aspx后缀名的应用
前言:为什么转载这篇文章?因为它有思考有实践。最近因为业务的需要,要对Url进行重写,其实也不是重写,也就是像在php中常容易实现的隐藏.php后缀一样来隐藏.aspx后缀。搜索不少文章,都提到URL重写,但是对于如何隐藏.aspx后缀描述不清。经过不懈搜索搜到这篇文章,按照其步骤,实现了如test.aspx,直接用test访问.我实践后想说的,实现隐藏.aspx,必须要在IIS里配置.*的隐射
利用微软的Office Online在线预览Office文档
一个url就可以访问了: https://view.officeapps.live.com/op/view.aspx?src=文件地址 这个文件地址需满足以下几个条件: (1)在浏览器是可以访问的; (2)需域名访问,IP无效; (3)访问端口为80(不是8080哈,它俩不一样的哈)。 我自己的例子: https://view.officeapps.live.com/op/view.aspx?s...
网址出现error.aspx?aspxerrorpath=404.htm?aspxerrorpath=的原因及解决办法<转>
网址出现aspxerrorpath=的问题描述 1.网页打不开了,输入网址后就提示error.aspx?aspxerrorpath=/about-us.html,到底是什么原因啊? 2.ASP网站自定义了404错误页,但访问不存在的网址时网址错误页后面总多出aspxerrorpath参数,怎么解决呢? 3.万方数据库检索时打开是空白页,访问http://www.sowsoy.com/zmd/...
在线预览office文件
     通过微软公开的api接口,将文档的URL传入即可实现在线预览office文件,而不需要去下载文件。 同时,若是想做提供预览office办公软件的服务,直接调用接口即可,无需利用openoffice或者某些软件去转成pdf文件或者html文件。 不过带来的一个问题是,若是使用微软的预览接口,你的文档url地址将会被暴露,缺失所谓文档的安全性。若是想限制用户下载文件,这一点估计是做不到的,因...
微软接口在线预览office文件
通过微软公开的api接口,将文档的URL传入即可实现在线预览office文件,而不需要去下载文件。 同时,若是想做提供预览office办公软件的服务,直接调用接口即可,无需利用openoffice或者某些软件去转成pdf文件或者html文件。 不过带来的一个问题是,若是使用微软的预览接口,你的文档url地址将会被暴露,缺失所谓文档的安全性。若是想限制用户下载文件,这一点估计是做不到的,因为懂点内行...
.NET社区

62,242

社区成员

668,998

社区内容

发帖
与我相关
我的任务
社区描述
.NET技术交流专区
javascript云原生 企业社区
社区管理员
  • ASP.NET
  • .Net开发者社区
  • R小R
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告

.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。

希望和大家一起共同营造一个活跃、友好的社区氛围。

试试用AI创作助手写篇文章吧

+ 用AI写文章