我有一个网站在IIS 7.5服务器上运行,在共享主机上安装了ASP.NET4.0,但完全受信任.
该网站是一个基本的"文件浏览器",允许访问者登录并显示可用文件列表,显然,还可以下载文件.静态文件(主要是pdf文件)位于网站上名为data的子文件夹中,例如http://example.com/data/...
该网站使用ASP.NET表单身份验证.
我的问题是:如何获得ASP.NET引擎来处理对数据文件夹中静态文件的请求,以便对文件的请求由ASP进行身份验证.NET,而用户无法深入链接到文件并获取他们不允许拥有的文件?
如果您的应用程序池在集成模式下运行,则可以执行以下操作.
将以下内容添加到您的顶级web.config中.
<system.webServer>
<modules>
<add name="FormsAuthenticationModule" type="System.Web.Security.FormsAuthenticationModule" />
<remove name="UrlAuthorization" />
<add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" />
<remove name="DefaultAuthentication" />
<add name="DefaultAuthentication" type="System.Web.Security.DefaultAuthenticationModule" />
</modules>
</system.webServer>
现在你可以使用标准的ASP.NET权限.配置以强制对目录中的所有文件进行窗体身份验证.
<system.web>
<authorization>
<deny users="?" />
</authorization>
<authentication mode="Forms" />
</system.web>