.net上传后的文件如何保证安全呢?(web方式)------等待高手答复

在web.config文件中设置就可以了!

解决方案 »

  1.   

    http://chs.gotdotnet.com/QuickStart/aspplus/default.aspx?url=%2fquickstart%2faspplus%2fdoc%2fformsauth.aspx看看这个,应该会对你有所帮助。
      

  2.   

    呵呵。我们的oa是专门用socket写了个文件传输的东西来搞文件传输的。客户端还要装一控件。绝对安全好用
      

  3.   

    Dragonok提到的Forms方式验证,1方面它只对.aspx文件进行验证,2方面它是所有的文件都采用同一个cookie进行验证,我希望能够我的文件访问,能够针对用户进行验证,而不是只要登录成功的用户都能见,要见还需要一个权限。例如2.doc文件,对于登录用户a可见,而对于登录用户b不可见,当然,对没登录的用户是一定不可见的
      

  4.   

    to:qiujinwen是啊,我是把权限写到数据库了,对于是.aspx的文件,我确实能够显示该用户有权访问的记录。可问题是我如何控制.doc或者.zip这些文件的访问权呢?例如:我把2.zip文件上传后,只要是登录用户,就一定能够利用url: http://xxx.com/files/2.zip访问到这个文件啊,即便这个文件不是该用户上传的
      

  5.   

    to qiujinwen
    且.net默认是不处理.doc和.zip等别的格式的文件的。这样,就不可能用.net来验证啊。
    我尝试把.doc放入aspnet_isapi.dll的isapi过滤器中,结果.doc文件经过.net处理后,显示的就不是原代码了:)
      

  6.   

    y1g1y1说的方法,我觉得从理论上可行,可我还来不及测试。我担心的问题是:到时读取的时候,ie是否有办法分辨出文件是什么格式了,毕竟这下文件名都是.aspx了,
    如果这样显示的就会是,如果是.doc和.rtf就调用word显示,如果是.zip,就保存。针对上面的方法,我有个解决方法的想法,就是强制aspnet_isapi.dll处理.doc .rtf .zip等后缀的文件,而这些文件实际是aspx代码,它们从数据库读出数据。
    是否需要这么麻烦,还是说利用html头就能够解决这个问题?有谁尝试过,能否告知一二,最好给出例子代码。小弟在这多谢了
      

  7.   

    呵呵,发现用数据库挺好用的,而且利用Content-Type实现.doc等文件,效果挺好的。目前就是一个问题,如果是rar等的Content-Type为application/octet-stream,在用浏览文件的时候,文件能保存,可是保存的默认文件名是XXX.aspx,而无法是XXX.rar,这样对于用户来说用起来就不方便了,有么什么办法,能够加个http头信息,就能够自动改变另存为的文件的名称为XXX.rar?
      

  8.   

    FileInfo info = new FileInfo(@"d://test.txt"); //源文件路径
    Response.Clear();
    Response.ClearHeaders();
    Response.Buffer=false;
    Response.ContentType ="text/txt";
    Response.AppendHeader("Content-Disposition","attachment;filename=ttt.txt"); //显示文件路径
    Response.AppendHeader("Content-Length",info.Length.ToString());
    Response.Flush();
    Response.WriteFile(info.FullName);

    Response.End();
      

  9.   

    IIS中设置那个上传目录不允许浏览不就得了,并不影响程序对其的访问。