111*_*110 3 architecture security asp.net-mvc file-upload
我有asp mvc项目.在其中我添加了目录结构:
...
UserUploads
User_1
Images
Original
Thumb
Display
User_2
User_n
...
如何使这个文件夹结构对用户不可见?我不希望未经授权的用户通过键入url来查看此图像.每个用户都拥有自己的图像,只有某个用户的"朋友"用户才能看到它的图像.我检查了facebook图片,图片地址如下:
http://a4.sphotos.ak.fbcdn.net/hphotos-ak-ash4/296040_2530953916384_1329592446_32898884_1499197273_n.jpg
那么,使用户上传的文件安全的最佳做法是什么?
那么,您可以使用两种方法:
真正的安全性 - 完全限制对文件夹结构的访问,并仅使用一些HttpHandler(或MVC操作)来为它们提供服务(在评估访问权限之后,通过TransferFile或流编写器将它们写入响应...).从性能的角度来看这是非常糟糕的 - 没有缓存,每个图片的整个服务器端处理等等.
"混淆"安全性 - 只是生成无法猜到的文件名(Guid是很好的候选者),所以没有人无法访问将生成文件名的页面无法直接访问HTML.当然,如果一个"朋友"访问它,然后将文件URL提供给未经授权的人,但他可以轻松地将文件本身发送给他...这种方式性能非常好 - 文件可缓存(由IIS和客户端) ),您的应用程序不必处理图像请求等.
| 归档时间: |
|
| 查看次数: |
3396 次 |
| 最近记录: |