再问:如何禁止用户通过地址栏直接敲入url下载文件?
比如某个文件是xxx.rar,放在网站xxxweb目录filestore下,用户正常是可以通过在地址栏键入以下url地址下载的:
http://xxxWeb/filestore/xxx.rar
如果禁止?
我的想法是让用户只能在指定的aspx网页里下载。
--------------------------------------------
已知的一种方案是把那个xxx.rar文件放到非web的目录下。然后用程序读取那个文件,再输出。
上面这种方案如何做?
如果要通过在服务器上设置非web目录,例如c;\temp,是不是得通过服务器管理员?如果部署在收费的互联网虚拟主机上,估计没有商家会开放这样的目录权限吧。
[解决办法]
帮顶一下。
[解决办法]
自己做一个下载类。然后调用,并且,可以将文件存放在网站所在目录以外,以防止类似的事情发生。
这个是在网络上较好的一个:
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.IO;
using System.Threading;
/// <summary>
/// FileDownload 的摘要说明
/// </summary>
public class FileDownload
{
/// <summary>
/// 输出硬盘文件,提供下载 支持大文件、续传、速度限制、资源占用小
/// </summary>
/// <param name= "_Request "> Page.Request对象 </param>
/// <param name= "_Response "> Page.Response对象 </param>
/// <param name= "_fileName "> 下载文件名 </param>
/// <param name= "_fullPath "> 带文件名下载路径 </param>
/// <param name= "_speed "> 每秒允许下载的字节数 </param>
/// <returns> 返回是否成功 </returns>
public static bool ResponseFile(HttpRequest _Request, HttpResponse _Response, string _fileName, string _fullPath, long _speed)
{
try
{
FileStream myFile = new FileStream(_fullPath, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);
BinaryReader br = new BinaryReader(myFile);
try
{
_Response.AddHeader( "Accept-Ranges ", "bytes ");
_Response.Buffer = false;
long fileLength = myFile.Length;
long startBytes = 0;
int pack = 10240; //10K bytes
//int sleep = 200; //每秒5次 即5*10K bytes每秒
int sleep = (int)Math.Floor((decimal)1000 * pack / _speed) + 1;
if (_Request.Headers[ "Range "] != null)
{
_Response.StatusCode = 206;
string[] range = _Request.Headers[ "Range "].Split(new char[] { '= ', '- ' });
startBytes = Convert.ToInt64(range[1]);
}
_Response.AddHeader( "Content-Length ", (fileLength - startBytes).ToString());
if (startBytes != 0)
{
_Response.AddHeader( "Content-Range ", string.Format( " bytes {0}-{1}/{2} ", startBytes, fileLength - 1, fileLength));
}
_Response.AddHeader( "Connection ", "Keep-Alive ");
_Response.ContentType = "application/octet-stream ";
_Response.AddHeader( "Content-Disposition ", "attachment;filename= " + HttpUtility.UrlEncode(_fileName, System.Text.Encoding.UTF8));
br.BaseStream.Seek(startBytes, SeekOrigin.Begin);
int maxCount = (int)Math.Floor((decimal)(fileLength - startBytes) / pack) + 1;
for (int i = 0; i < maxCount; i++)
{
if (_Response.IsClientConnected)
{
_Response.BinaryWrite(br.ReadBytes(pack));
Thread.Sleep(sleep);
}
else
{
i = maxCount;
}
}
}
catch
{
return false;
}
finally
{
br.Close();
myFile.Close();
}
}
catch
{
return false;
}
return true;
}
}
自己试着看看。
[解决办法]
也可以将上传的文件放置到WEB目录下,但是其目录不对外明文显示,通过一个下载页,根据参数读取到该下载文件的路径及名称,然后通过
Response.Clear();
Response.ClearHeaders();
Response.Buffer = false;
Response.ContentEncoding = System.Text.Encoding.Default;
Response.ContentType = "application/octet-stream ";
Response.AppendHeader( "Content-Disposition ",String.Format( "attachment;filename={0} ",info.ClientFileName ) );
Response.WriteFile( 文件路径 );
Response.Flush();
Response.End();
将文件输出至客户端.
[解决办法]
第一种方法可行
第二种方法别人有办法得到你的文件具体位置
[解决办法]
其实就是防盗链代码
[解决办法]
利用下载类还是不错的
[解决办法]
UP
[解决办法]
第一是可以用response写一个下载类。
第二如果文件不大的话,可以以二进制的形式存在数据库里
[解决办法]
如果是你那样 可以直接 使用web目录来保存文件
只是文件名 随机点 比如上传时候的 年月日时分秒毫秒来作为文件名
而且你的这个web文件夹名也取特别点
谁能猜的到呢....
你的filedown.aspx根本就不会暴露真实路径.
[解决办法]
帮顶...cocosoft() 的方法不错
[解决办法]
王员外的第二种方法是可行的,孙子兵法说的有理。
只要你目录隐蔽一些,文件名取得乱一些。别人是根本猜不到的。
[解决办法]
路过
帮顶
[解决办法]
也就是不以真实的路径存放到URL中,是通过一个CLASS去中转它。
[解决办法]
第一种方法可行
第二种方法别人有办法得到你的文件具体位置
-----------------------------------------
只要是放在web目錄下面,都有可能被得到具體位置,在沒有服務器管理權限的情況下,能夠防範大多數的盜鏈就好。當然還是期待有高手能夠保證萬無一失
Mark一下
[解决办法]
或者可以使用FTP来提供下载,然后通过程序动态控制FTP帐号密码
[解决办法]
也可以在点击下载连接后,用js的open()打开下载页面.在open()的参数中把Location栏给隐了,别人就看不见你的下载地址了
[解决办法]
当然用类实现最好,
[解决办法]
3楼方法可行!
[解决办法]
学习..顶
[解决办法]
学习了
------解决方案--------------------
httphandler
httpmodule
[解决办法]
学习
[解决办法]
1.可以在虚拟目录的属性-〉配置-〉添加.rar的应用程序映射,用工具下载下来也打不开
2.放在web目录的子目录中,用Response的方式提供授权的下载,就像上面的例子;但是在config中,禁止直接访问此目录:
<location path = "rarFilePath ">
<system.web>
<authorization>
<deny users = "* "/>
</authorization>
</system.web>
</location>
[解决办法]
mark,学习一下。
[解决办法]
如果下载文件放在web目录中,我想无论怎么样隐藏路径或文件名,都不是最安全的方法,都有可能被取得文件具体的位置。
不要听他们胡说,
世界上根本就没有什么绝对安全的东西。
安全源于习惯,只要你不把任何文件的链接信息公布出去,然后把目录名字取得乱七八糟一些,理论上别人是不可能找到的。
除非他黑了你的服务器或者拿到了某些权限。
而他拿到了这些权限会仅仅只下载你的文件么?
记得一定要屏蔽下载页面的异常就OK了,安全源于习惯。
[解决办法]
理论上只要你的文件放在了一台连接着因特网上的电脑上,就有可能被任何人拿去。
[解决办法]
使用Session检查。
[解决办法]
我的回答的2其实本来是和1一起使用的。为防止用工具下载,还是用1的方法,不过,在应用程序扩展名映射那里配置一个不存在的或不正确的映射就可以了,比如,可执行文件用aspnet_isapi.dll,但是动作限制为test(不存在)。下载工具毕竟得过IIS.
[解决办法]
下载时带个参数就能搞定了,通过IE地址栏直接访问的话,没有参数,在程序里面判断一下这个参数就OK了
[解决办法]
学习ing ...
[解决办法]
学习
