Question

У меня есть обработчик для загрузки файлов, как показано ниже:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.IO;
using NiceFileExplorer.Classes;

namespace NiceFileExplorer
{
    /// <summary>
    /// Summary description for HandlerForMyFE
    /// </summary>
    public class HandlerForMyFE : IHttpHandler, System.Web.SessionState.IRequiresSessionState
    {
        private HttpContext _context;
        private HttpContext Context
        {
            get
            {
                return _context;
            }
            set
            {
                _context = value;
            }
        }

        public void ProcessRequest(HttpContext context)
        {
            Context = context;
            string filePath = context.Request.QueryString["Downloadpath"];
            filePath = context.Server.MapPath(filePath);

            if (filePath == null)
            {
                return;
            }

            System.IO.StreamReader streamReader = new System.IO.StreamReader(filePath);
            System.IO.BinaryReader binaryReader = new System.IO.BinaryReader(streamReader.BaseStream);

            byte[] bytes = new byte[streamReader.BaseStream.Length];

            binaryReader.Read(bytes, 0, (int)streamReader.BaseStream.Length);

            if (bytes == null)
            {
                return;
            }

            streamReader.Close();
            binaryReader.Close();

            string fileName = System.IO.Path.GetFileName(filePath);
            string MimeType = GetMimeType(fileName);
            string extension = System.IO.Path.GetExtension(filePath);
            char[] extension_ar = extension.ToCharArray();
            string extension_Without_dot = string.Empty;
            for (int i = 1; i < extension_ar.Length; i++)
            {
                extension_Without_dot += extension_ar[i];
            }

            string filesize = string.Empty;
            FileInfo f = new FileInfo(filePath);
            filesize = f.Length.ToString();

            if (HttpContext.Current.Session["User_ID"] != null)
            {
                WriteFile(bytes, fileName, filesize, MimeType + " " + extension_Without_dot, context.Response);
            }

        }

        private void WriteFile(byte[] content, string fileName, string filesize, string contentType, HttpResponse response)
        {
            response.Buffer = true;
            response.Clear();

            response.ContentType = contentType;

            response.AddHeader("content-disposition", "attachment; filename=" + fileName);

            response.AddHeader("Content-Length", filesize);

            response.BinaryWrite(content);
            response.Flush();
            response.End();
        }

        private string GetMimeType(string fileName)
        {
            string mimeType = "application/unknown";
            string ext = System.IO.Path.GetExtension(fileName).ToLower();
            Microsoft.Win32.RegistryKey regKey = Microsoft.Win32.Registry.ClassesRoot.OpenSubKey(ext);
            if (regKey != null && regKey.GetValue("Content Type") != null)
                mimeType = regKey.GetValue("Content Type").ToString();
            return mimeType;
        }

        public bool IsReusable
        {
            get
            {
                return false;
            }
        }
    }
}

важной частью этого обработчика является WriteFile, и он прекрасно работает!
я вызываю этот обработчик для загрузки файла из кода ниже, как показано ниже:

Response.Redirect("~/Handler.ashx?Downloadpath=" + HttpUtility.UrlEncode(DownloadPath));

одна из моих ссылок на скачивание на моем сайте, как показано ниже:

http://localhost:5410/en/Download.aspx?Downloadpath=%2fFiles%2f%2fsamsung%2fGE2550_DEFAULT_MDL_V002.exe

так, я могу легко контролировать свои ссылки для скачивания этим обработчиком!

Моя проблема в том, что некоторые тела изменяют эту ссылку на:

http://localhost:5410/Files/samsung/GE2550_DEFAULT_MDL_V002.exe

can download that file directly without that handler!

как я могу предотвратить эту прямую загрузку?

заранее спасибо

patmortech · Answer 1 · 13 ноября 2011

Во-первых, вставлять фактический физический путь к файлу в строку запроса не очень хорошая идея. Предоставляет общественности слишком много информации и открывает вам проблемы с безопасностью, когда люди вводят неожиданные пути в URL, чтобы попытаться загрузить другие файлы.

С учетом вышесказанного относительно вашей проблемы, указанной выше, вы должны либо поместить папку «Файлы» вне корневого веб-каталога, чтобы она была недоступна для браузера, либо настроить IIS, чтобы никому не был разрешен доступ к этой папке (и подпапкам) , Пока учетная запись, под которой работает ASP.NET, имеет разрешения на доступ к папке, вы все равно сможете открывать файл в своем коде и записывать его в ответ, независимо от того, виден ли он через IIS.

как предотвратить прямую загрузку файлов из браузера, когда было установлено разрешение [read = allow]

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

как предотвратить прямую загрузку файлов из браузера, когда было установлено разрешение [read = allow]

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы