比如某个文件是xxx.rar,放在网站xxxweb目录filestore下,用户正常是可以通过在地址栏键入以下url地址下载的:http://xxxWeb/filestore/xxx.rar如果禁止?
我的想法是让用户只能在指定的aspx网页里下载。--------------------------------------------
已知的一种方案是把那个xxx.rar文件放到非web的目录下。然后用程序读取那个文件,再输出。上面这种方案如何做?
如果要通过在服务器上设置非web目录,例如c;\temp,是不是得通过服务器管理员?如果部署在收费的互联网虚拟主机上,估计没有商家会开放这样的目录权限吧。
我的想法是让用户只能在指定的aspx网页里下载。--------------------------------------------
已知的一种方案是把那个xxx.rar文件放到非web的目录下。然后用程序读取那个文件,再输出。上面这种方案如何做?
如果要通过在服务器上设置非web目录,例如c;\temp,是不是得通过服务器管理员?如果部署在收费的互联网虚拟主机上,估计没有商家会开放这样的目录权限吧。
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.IO;
using System.Threading;/// <summary>
/// FileDownload 的摘要说明
/// </summary>
public class FileDownload
{
/// <summary>
/// 输出硬盘文件,提供下载 支持大文件、续传、速度限制、资源占用小
/// </summary>
/// <param name="_Request">Page.Request对象</param>
/// <param name="_Response">Page.Response对象</param>
/// <param name="_fileName">下载文件名</param>
/// <param name="_fullPath">带文件名下载路径</param>
/// <param name="_speed">每秒允许下载的字节数</param>
/// <returns>返回是否成功</returns>
public static bool ResponseFile(HttpRequest _Request, HttpResponse _Response, string _fileName, string _fullPath, long _speed)
{
try
{
FileStream myFile = new FileStream(_fullPath, FileMode.Open, FileAccess.Read, FileShare.ReadWrite);
BinaryReader br = new BinaryReader(myFile);
try
{
_Response.AddHeader("Accept-Ranges", "bytes");
_Response.Buffer = false;
long fileLength = myFile.Length;
long startBytes = 0; int pack = 10240; //10K bytes
//int sleep = 200; //每秒5次 即5*10K bytes每秒
int sleep = (int)Math.Floor((decimal)1000 * pack / _speed) + 1;
if (_Request.Headers["Range"] != null)
{
_Response.StatusCode = 206;
string[] range = _Request.Headers["Range"].Split(new char[] { '=', '-' });
startBytes = Convert.ToInt64(range[1]);
}
_Response.AddHeader("Content-Length", (fileLength - startBytes).ToString());
if (startBytes != 0)
{
_Response.AddHeader("Content-Range", string.Format(" bytes {0}-{1}/{2}", startBytes, fileLength - 1, fileLength));
}
_Response.AddHeader("Connection", "Keep-Alive");
_Response.ContentType = "application/octet-stream";
_Response.AddHeader("Content-Disposition", "attachment;filename=" + HttpUtility.UrlEncode(_fileName, System.Text.Encoding.UTF8)); br.BaseStream.Seek(startBytes, SeekOrigin.Begin);
int maxCount = (int)Math.Floor((decimal)(fileLength - startBytes) / pack) + 1; for (int i = 0; i < maxCount; i++)
{
if (_Response.IsClientConnected)
{
_Response.BinaryWrite(br.ReadBytes(pack));
Thread.Sleep(sleep);
}
else
{
i = maxCount;
}
}
}
catch
{
return false;
}
finally
{
br.Close();
myFile.Close();
}
}
catch
{
return false;
}
return true;
}}
自己试着看看。
Response.Clear();
Response.ClearHeaders();
Response.Buffer = false;
Response.ContentEncoding = System.Text.Encoding.Default;
Response.ContentType = "application/octet-stream";
Response.AppendHeader( "Content-Disposition",String.Format( "attachment;filename={0}",info.ClientFileName ) );
Response.WriteFile( 文件路径 );
Response.Flush();
Response.End();
将文件输出至客户端.
第二如果文件不大的话,可以以二进制的形式存在数据库里
只是文件名 随机点 比如上传时候的 年月日时分秒毫秒来作为文件名
而且你的这个web文件夹名也取特别点
谁能猜的到呢....你的filedown.aspx根本就不会暴露真实路径.
第一种方法可行第二种方法别人有办法得到你的文件具体位置-----------------------------------------只要是放在web目錄下面,都有可能被得到具體位置,在沒有服務器管理權限的情況下,能夠防範大多數的盜鏈就好。當然還是期待有高手能夠保證萬無一失Mark一下
2.放在web目录的子目录中,用Response的方式提供授权的下载,就像上面的例子;但是在config中,禁止直接访问此目录:
<location path ="rarFilePath">
<system.web>
<authorization>
<deny users ="*"/>
</authorization>
</system.web>
</location>
1.可以在虚拟目录的属性-〉配置-〉添加.rar的应用程序映射,用工具下载下来也打不开
2.放在web目录的子目录中,用Response的方式提供授权的下载,就像上面的例子;但是在config中,禁止直接访问此目录:
<location path ="rarFilePath">
<system.web>
<authorization>
<deny users ="*"/>
</authorization>
</system.web>
</location>
---------------------------------------------------------
使用类似WebZip类的软件就可以把整个网站的目录和文件Download下来,上面这两种方法都不太可行。
不要听他们胡说,
世界上根本就没有什么绝对安全的东西。
安全源于习惯,只要你不把任何文件的链接信息公布出去,然后把目录名字取得乱七八糟一些,理论上别人是不可能找到的。
除非他黑了你的服务器或者拿到了某些权限。
而他拿到了这些权限会仅仅只下载你的文件么?记得一定要屏蔽下载页面的异常就OK了,安全源于习惯。