如何解决如何设置站点静态文件的权限?
我有一个会员专用网页。
我在 Windows Server 2016 上使用 IIS 10 发布。
会员通过网站上传他们的私人文件到网站。
例如:
http://mywebpage.com/upload/xuser/a.jpg
http://mywebpage.com/upload/xuser/b.pdf
http://mywebpage.com/upload/yuser/c.pdf
http://mywebpage.com/upload/yuser/abc/d.pdf
我在带有经典 asp 的 html 标签中使用这些文件。例如;
<a href='http://mywebpage.com/upload/yuser/c.pdf'>yuser transcript</a>
<h1>Profile</h1><img src='http://mywebpage.com/upload/xuser/a.jpg'/>
但我希望这些文件只能通过“http://mywebpage.com”下的 *.asp 文件访问。
用户可以通过直接在地址栏中输入链接来访问它的可能性让我非常恼火。
为此,我使用了以下方法。但我还是没有安全感。
-
禁止 /upload/ 目录中的所有文件包含 robots.txt。
-
使用 web.config 阻止浏览到 /upload/。
-
使用带有用户 ID 而不是 yuser 的复杂目录名和复杂文件名。 /upload/ASDASD12djd829D2/DUJA811220.jpg
但是这些仍然不是我想要的解决方案。是否可以说除了http://mywebpage.com/*.asp页之外没有人可以读取这些静态文件?我应该走哪条路?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。