ASP.NET MVC 阻止通过URL访问服务器上的静态资源文件

最新推荐文章于 2023-03-05 16:25:14 发布
最新推荐文章于 2023-03-05 16:25:14 发布
阅读量4.5k 收藏 3
点赞数 2
CC 4.0 BY-SA版权
分类专栏: ASP.NET MVC 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuchen_wang/article/details/95585287
本文介绍了如何在ASP.NET MVC中阻止用户通过URL直接访问静态资源文件,如HTML。通过定义路由、配置应用程序服务器以及使用IgnoreRoute方法来限制对特定文件的访问。文中详细阐述了每个步骤的操作过程,包括修改路由配置、调整IIS Express设置以及排除特定文件夹的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景 

在默认情况下,MVC框架是支持对服务器静态资源的访问的,我们在项目根目录下新建一个Content文件夹,然后添加一个命名为“StaticContent.html”的html文件,如下图所示:

                                         

 StaticContent.html中的代码如下图所示:

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
	<meta charset="utf-8" />
</head>
<body>
    This is the static html file(~/Content/StaticContent.html)
</body>
</html>

运行项目,输入URL,可以看到能访问到这个文件: 

                          

 

为磁盘文件定义路由 

为了安全考虑,希望用户不能访问某些文件夹,我们可以增加如下代码:

        public static void RegisterRoutes(RouteCollection routes)
        {
            routes.RouteExistingFiles = true;
        }

这段代码告诉MVC框架,对于静态文件我们也要走路由机制(默认情况下,MVC框架发现请求的文件存在于服务器上时,会绕过路由机制,直接读取文件) 

然后新建一条更具体的静态路由,映射文件路径请求,如下图所示:

public static void RegisterRoutes(RouteCollection routes)
{
    routes.RouteExistingFiles = true;

    routes.IgnoreRoute("{resource}.axd/{*pathInfo}");

    routes.MapMvcAttributeRoutes();
    
    //映射到Customer控制器上的List方法
    routes.MapRoute("DiskFile","Content/StaticContent.html",new { controller = "Customer",action = "List"});

    routes.MapRoute(
       name: "Default",
       url: "{controller}/{action}/{id}",
       defaults: new { controller = "Home", action = "Index", id = UrlParameter.Optional }
            );
}

再次运行项目, 还是能访问到,如下图所示:

                    

配置应用程序服务器 

以上这么做还不够,需要配置应用程序服务器。首先启动MVC项目,在右下角找到 IIS Express,如下图所示:

                                                                    

右键点击, 选择“显示所有应用程序”后,如下图所示:

                                         

单击网站名称后,在出现的配置一栏中,再次点击配置,如下图所示:

                                            

在打开的文件中,搜索“UrlRoutingModule-4.0” 关键字,如下图所示:

将preCondition属性设置为空字符串,如下图所示: 

<add name="UrlRoutingModule-4.0" type="System.Web.Routing.UrlRoutingModule" preCondition="" />

在VS中重新运行项目,让修改后的配置生效,并导航到/content/StaticContent.html,可以看到映射已经生效: 

                    

当然,可以自己修改Customer控制器下List方法返回的页面代码,增加个提示,比如“无法访问资源文件”什么的。 

注意IIS 和 IIS Express的处理方式是有区别的,如果你的程序发布到IIS上,需要在web.config中添加如下代码,否则静态文件还是会交由IIS处理,而不会被路由。如下图所示:

<configuration>
  <system.webServer>
    <modules runAllManagedModulesForAllRequests="true" />
     .......
  </system.webServer>
</configuration>

 

绕过路由系统 

到这里还没结束,以上方法禁止了对所有资源文件的访问。如果现在去请求scripts文件夹下的静态js文件,能看到如下图所示:

           

如果希望排除某些资源文件 ,绕过路由系统,可以用以下代码:

public class RouteConfig
    {
        public static void RegisterRoutes(RouteCollection routes)
        {
            routes.RouteExistingFiles = true;
            routes.IgnoreRoute("Scripts/{*pathInfo}");
        }
    }

 在这种情况下,URL模式将匹配任何两个片段的URL,第一个片段是“Scripts”,第二个片段{*pathInfo}是所有路径的意思。

IgnoreRoute方法在RouteCollection中创建了一个条目,在RouteCollection中路由处理程序是StopRoutingHandler类的一个实例,而不是MvcRouteHandler类。路由系统被硬编码以识别这个处理程序。如果传递给IgnoreRoute方法的URL模式匹配,那么后面的路由将不会被计算,就像匹配一个普通的路由一样。

再次访问JS文件,成功,如下图所示: 

 

本文结束 ,部分参考来自这篇文章

 

 

 

 

 

 

 

 

 

ASP.NET MVC3关于生成纯静态后如何不再走路由直接访问静态页面
10-28
访问量类型的电子商务网站,需要将一些不是经常变化的页面生成静态页面,然后普通用户就可以直接访问这些静态页面而不用再访问需要连接数据库的动态页面。那么ASP.NET MVC3中如何做到这一点呢
ASP.NET MVC使用RazorEngine解析模板生成静态
01-20
ASP.NET MVC与Razor引擎】 ASP.NET MVC是一个用于构建动态网站的开源框架,它提供了模型-视图-控制器(MVC)架构,有助于分离关注点并促进可测试性。Razor是ASP.NET MVC 3引入的新特性,作为ASPX视图引擎的替代...
asp.net mvc 阻止通过Url直接访问服务器上的静态文件
zp19860529的博客
05-22 2717
某些情况下我们需要在服务器上保存一些静态文件,比如用户上传到服务器的文件,如果刚好这些文件的保存目录是应用程序目录下的一个子目录的话,别人就可以通过Url直接访问这个文件。 例如:在应用程序目录下的UploadFiles子目录里保存用户上传上来的文件abc.txt, 那么别人就可以有通过url http://hostname/UploadFiles/aaa.txt 直接访问到这个文件 出于安全的考虑,你不想用户通过Url的方式访问这些文件,可以通过如下方法: public class RouteCo
ASP.NET如何禁止直接通过Url访问某个类型的文件(非权限),不定时补充
热门推荐
sky 胡萝卜星星
12-01 1万+
Note:此处不是权限设置问题,此处不是权限设置问题,此处不是权限设置问题!只是出于数据或者网络安全,禁止扫描工具直接扫描到某些包含敏感信息的文件,尤其比如日志、配置等 默认ASP.NET已经考虑到了一些安全问题,比如.config后缀的配置文件,比如.cs的源代码文件,比如.log的日志文件,这些默认都是全局设置,但还有些NET没帮我们设置,比如.xml后缀,比如.txt后缀,这些文件里面往往
Asp.net MVC+Linux+jexus环境中阻止静态html通过URL直接访问的解决过程
zp19860529的博客
05-25 927
前言 有一个项目,是用Asp.net MVC开发的,后来客户希望在系统项目不作过多改动的情况下,能够部署到Linux环境中,最终选择了使用Jexus(国产的,专为Asp.net 跨平台设计的)作为Asp.net程序的跨平台Web服务器部署环境(后来得知,可以使用Nancy.Net框架来实现跨平台),成功部署到Linux后,系统运行正常,后来,客户又提出新要求,对于html(有一些第三方投递过来的数据文件,放在其它目录,没有保存在View下的视图目录中)这种静态文件不能直接通过URL访问,需要经过系统..
asp.net routing html文件不能访问,ASP.NET MVC 阻止通过URL访问服务器上的静态资源文件...
05-26
这是因为 ASP.NET MVC 默认会阻止通过 URL 直接访问服务器上的静态资源文件。 为了解决这个问题,我们可以在 `Web.config` 文件中添加以下配置,允许访问静态资源文件: ```xml *.html" verb="*" type=...
ASP.NET Core MVC从入门到精通系列文章PDF版
06-30
11. **wwwroot和客户端库**:wwwroot是ASP.NET Core中的静态文件根目录,存放CSS、JavaScript、图片等资源,可以直接被浏览器访问。 12. **Razor语法**:Razor是ASP.NET Core中用于创建视图的标记语法,它允许在...
如何从asp.net MVC应用程序中的链接打开文件
04-05
ASP.NET MVC应用程序中,开发人员经常需要处理文件下载的功能,以便用户可以从网站上获取静态或动态生成的文件。本文将深入探讨如何实现这一目标,确保用户能够通过点击链接顺利地打开或下载文件。 首先,我们...
ASP.NET MVC URL重写与优化
01-21
ASP.NET MVC URL重写与优化是提升Web应用用户体验和搜索引擎友好性的重要技术。在ASP.NET MVC框架中,URL重写和优化能够使应用程序的网址更加美观、可读,同时还能帮助隐藏技术细节,提高网站的SEO(搜索引擎优化)...
[翻译] ASP.NET MVC Tip #10 - 防止URL操作攻击
weixin_33736649的博客
01-08 363
原文地址:http://weblogs.asp.net/stephenwalther/archive/2008/06/26/prevent-url-manipulation-attacks.aspx 摘要:在这个Tip中,Stephen Walther介绍了黑客如何通过操作URLASP.NET MVC网站中窃取敏感信息。Stephen Walther还探讨了如何构建单元测试来防止这类攻击。 ...
ASP.Net MVC如何访问静态页面
u014712365的博客
06-12 226
MVC开发中,因为View文件夹下的web.config文件默认会把任何方法的请求的任何文件,路径都交给 System.Web.HttpNotFoundHandler 去处理.起到Controller统一控制的效果. <httpHandlers> <add path="*" verb="*" type="System.Web.HttpNotFoun...
IIS6中ASP.NET实现对静态文件的授权控制
weixin_30363817的博客
12-04 220
后台使用html+ashx+js开发 在VS2008调试并未发现问题 发布到IIS6才发现不需要验证也能访问html文件 解决这个问题配置IIS即可了 方法如下: IIS配置:网站->属性->目录->配置->映射->通配符应用程序映射 插入c:\windows\microsoft.net\framework\v2.0.50727\aspnet_isapi....
spring mvc前端控制器拦截静态资源的解决办法
weixin_43694465的博客
01-07 1210
springmvc前端控制器拦截静态资源的解决办法 在配置SpringMVC开发环境时,会在web.xml文件中配置SpringMVC的前端控制器,将所有请求交给前端控制器处理,因此在url-pattern中配置了斜杠(/), url-pattern中配置的斜杠(/)表示将除了JSP以外的其他请求都拦截下来,交给spring的前端控制器来处理。 但是这样配置,会将对静态资源的访问也拦截下来,导致...
如何控制静态资源的访问 和对资源访问的权限
qq_53303324的博客
03-05 2236
如何控制静态资源的访问 和对资源访问的权限
ASP.NET中的页面访问控制
Aone --- 无限的未知
03-15 1051
1、简介ASP.NET 是建立微软.Net平台上的WEB编程框架,可用于在服务器上生成功能强大、结构清晰的 Web 应用程序。有必要指出的是,由于 ASP.NET 基于.Net公共语言运行库,因此在ASP.NET中可以利用整个.Net平台的全部功能。本文通过对ASP.NET开发中的页面访问控制问题的描述,涉及到了Request、Response、Session、Cookie这几个对象,并对ASP.
ASP.NET MVC 利用Razor引擎生成静态
清山博客
05-09 6228
实现原理及步骤: 1.通过ViewEngines.Engines.FindView查找到对应的视图,如果是部分视图,则用:ViewEngines.Engines.FindPartialView; 2.设置上下文对象里的Model; 3.调用视图的Render()方法,将渲染结果保存到物理静态文件; using System; using System.IO; using System.T...
解决静态资源被拦截器拦截的最简方法!
MaNongXf的博客
10-31 4727
关于这个问题网上有很多种解决方法,比如在springmvc.xml配置文件种添加这一段(虽然这样很简单,就两行代码,但它是有前提的,有的时候会无效!) &lt;!-- 过滤静态资源 --&gt; &lt;mvc:default-servlet-handler /&gt; &lt;!-- 配置映射器和适配器 --&gt; &lt;mvc:annotation-driven&gt;&lt;/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值