ASP.NET 如何有效的防止资源被盗(防盗链下载)
2011-08-13 00:36
501 查看
转载请注明:敏捷学院-技术资源库原文链接:http://dev.mjxy.cn/a-Download-to-prevent-hotlinking.aspx
介绍
为了有效的防止通过其他的网站的链接直接下载你网站里文件或图片,可以使用防止盗链功能。防盗链有很多中方法,例如:只允许登录的用户才可以下载,或者只允许特定的经过授权的网站(域名)才可以下载等。
IHttpHandler
通过IHttpHandler可以编写自定义 HTTP 处理程序来处理特定的、预定义类型的 HTTP 请求。响应这些特定请求的是在 HttpHandler 类中定义的可执行代码,而不是常规的 ASP 或 ASP.NET网页。HTTP 处理程序向您提供一种方法,使您可以与 IIS Web 服务器的低级别的请求和响应服务交互,同时提供极其类似于 ISAPI 扩展但编程模型较为简单的功能。有关如何创建HTTP处理程序参见:如何自定义IHttpHandler http://dev.mjxy.cn/a-How-to-customize-the-IHttpHandler.aspx。
示例
以下示例代码演示如何防止非来自于dev.mjxy.cn的域名下载文件。
public class DownHandler : IHttpHandler
{
public bool IsReusable
{
get { return true; }
}
public void ProcessRequest(HttpContext context)
{
string server = string.Empty;
//获取外链主机(域名)名称
if (context.Request.UrlReferrer != null) { server = context.Request.UrlReferrer.Host; }
string domain = System.Configuration.ConfigurationManager.AppSettings["domain"].ToString();
FileInfo fileInfo = new FileInfo(context.Request.PhysicalPath); //获取访问文件的实际物理路径
if (server == domain) //比较是否是允许的域名
{
Debug.WriteLine(fileInfo.Extension);
down(context.Request.Path);
}
else
{
context.Response.Write(string.Format("<script type='text/javascript'>alert('敏捷学院-技术资源库 提醒:{0} 盗链下载不被允许!自动转到http://dev.mjxy.cn搜索你要的文件!');window.location='http://dev.mjxy.cn/search.aspx?q={1}';</script>",server,fileInfo.Name));
context.Response.End();
}
}
//流下载
public void down(string cc)
{
if (cc != "")
{
string path = System.Web.HttpContext.Current.Server.MapPath(cc);
System.IO.FileInfo file = new System.IO.FileInfo(path);
if (file.Exists)
{
System.Web.HttpContext.Current.Response.Clear();
//指定下载的文件名称
System.Web.HttpContext.Current.Response.AddHeader("Content-Disposition", "attachment; filename=" + HttpUtility.UrlEncode(file.Name, Encoding.UTF8).Replace("+", "%20"));
//文件大小
System.Web.HttpContext.Current.Response.AddHeader("Content-Length", file.Length.ToString());
//通用格式
System.Web.HttpContext.Current.Response.ContentType = "application/octet-stream";
System.Web.HttpContext.Current.Response.ContentEncoding = Encoding.UTF8;
System.Web.HttpContext.Current.Response.Filter.Close();
System.Web.HttpContext.Current.Response.WriteFile(file.FullName);
System.Web.HttpContext.Current.Response.End();
}
else
{
System.Web.HttpContext.Current.Response.Write("文件不存在");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
context.Request.UrlReferrer 是获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。
context.Request.UrlReferrer.Host 在这里是获取主机(客户端访问的域名)名称。
HttpUtility.UrlEncode(file.Name, Encoding.UTF8).Replace("+", "%20") 是对下载文件名称编码。UrlEncode编码后会把文件名中的空格转换中+(+转换为%2b),但是浏览器是不能理解加号为空格的,所以在浏览器下载得到的文件,空格就变成了加号。UrlEncode 之后, 将 "+" 替换成 "%20",因为浏览器将%20转换为空格。
允许下载文件的主机我们在web.config中配置:
<appSettings>
<!-- 允许下载的域名-->
<add key="domain" value="dev.mjxy.cn"/>
</appSettings>
注册HTTP处理程序
修改web.config配置文件
IIS6
<httpHandlers>
<!-- 防盗链下载-->
<add verb="*" path="/uploadfiles/files/*.*" validate="false" type="KnownWebHandler.DownHandler,KnownWebHandler"/>
</httpHandlers>
IIS7
<system.webServer>
<handlers>
<!-- 防盗链下载-->
<add name="download" verb="*" path="/uploadfiles/files/*.*" type="KnownWebHandler.DownHandler,KnownWebHandler"/>
</handlers>
</system.webServer>
path="/uploadfiles/files/*.*" 表示只有这里目录里的所有文件才使用KnownWebHandler HTTP处理程序处理。
参考资料
如何自定义IHttpHandler http://dev.mjxy.cn/a-How-to-customize-the-IHttpHandler.aspx
以流的方式下载文件,隐藏实际的下载路径 http://dev.mjxy.cn/a-Download-the-file-to-stream-download-hide-the-real-path.aspx
在ASP.NET中支持断点续传下载大文件 http://dev.mjxy.cn/a-Supported-in-the-ASPNET-HTTP-download-large-files.aspx
IHttpHandler 接口 http://msdn.microsoft.com/zh-cn/library/system.web.ihttphandler(VS.80).aspx HTTP 处理程序和 HTTP 模块概述 http://msdn.microsoft.com/zh-cn/library/bb398986(VS.90).aspx
介绍
为了有效的防止通过其他的网站的链接直接下载你网站里文件或图片,可以使用防止盗链功能。防盗链有很多中方法,例如:只允许登录的用户才可以下载,或者只允许特定的经过授权的网站(域名)才可以下载等。
IHttpHandler
通过IHttpHandler可以编写自定义 HTTP 处理程序来处理特定的、预定义类型的 HTTP 请求。响应这些特定请求的是在 HttpHandler 类中定义的可执行代码,而不是常规的 ASP 或 ASP.NET网页。HTTP 处理程序向您提供一种方法,使您可以与 IIS Web 服务器的低级别的请求和响应服务交互,同时提供极其类似于 ISAPI 扩展但编程模型较为简单的功能。有关如何创建HTTP处理程序参见:如何自定义IHttpHandler http://dev.mjxy.cn/a-How-to-customize-the-IHttpHandler.aspx。
示例
以下示例代码演示如何防止非来自于dev.mjxy.cn的域名下载文件。
public class DownHandler : IHttpHandler
{
public bool IsReusable
{
get { return true; }
}
public void ProcessRequest(HttpContext context)
{
string server = string.Empty;
//获取外链主机(域名)名称
if (context.Request.UrlReferrer != null) { server = context.Request.UrlReferrer.Host; }
string domain = System.Configuration.ConfigurationManager.AppSettings["domain"].ToString();
FileInfo fileInfo = new FileInfo(context.Request.PhysicalPath); //获取访问文件的实际物理路径
if (server == domain) //比较是否是允许的域名
{
Debug.WriteLine(fileInfo.Extension);
down(context.Request.Path);
}
else
{
context.Response.Write(string.Format("<script type='text/javascript'>alert('敏捷学院-技术资源库 提醒:{0} 盗链下载不被允许!自动转到http://dev.mjxy.cn搜索你要的文件!');window.location='http://dev.mjxy.cn/search.aspx?q={1}';</script>",server,fileInfo.Name));
context.Response.End();
}
}
//流下载
public void down(string cc)
{
if (cc != "")
{
string path = System.Web.HttpContext.Current.Server.MapPath(cc);
System.IO.FileInfo file = new System.IO.FileInfo(path);
if (file.Exists)
{
System.Web.HttpContext.Current.Response.Clear();
//指定下载的文件名称
System.Web.HttpContext.Current.Response.AddHeader("Content-Disposition", "attachment; filename=" + HttpUtility.UrlEncode(file.Name, Encoding.UTF8).Replace("+", "%20"));
//文件大小
System.Web.HttpContext.Current.Response.AddHeader("Content-Length", file.Length.ToString());
//通用格式
System.Web.HttpContext.Current.Response.ContentType = "application/octet-stream";
System.Web.HttpContext.Current.Response.ContentEncoding = Encoding.UTF8;
System.Web.HttpContext.Current.Response.Filter.Close();
System.Web.HttpContext.Current.Response.WriteFile(file.FullName);
System.Web.HttpContext.Current.Response.End();
}
else
{
System.Web.HttpContext.Current.Response.Write("文件不存在");
System.Web.HttpContext.Current.Response.End();
}
}
}
}
context.Request.UrlReferrer 是获取有关客户端上次请求的 URL 的信息,该请求链接到当前的 URL。
context.Request.UrlReferrer.Host 在这里是获取主机(客户端访问的域名)名称。
HttpUtility.UrlEncode(file.Name, Encoding.UTF8).Replace("+", "%20") 是对下载文件名称编码。UrlEncode编码后会把文件名中的空格转换中+(+转换为%2b),但是浏览器是不能理解加号为空格的,所以在浏览器下载得到的文件,空格就变成了加号。UrlEncode 之后, 将 "+" 替换成 "%20",因为浏览器将%20转换为空格。
允许下载文件的主机我们在web.config中配置:
<appSettings>
<!-- 允许下载的域名-->
<add key="domain" value="dev.mjxy.cn"/>
</appSettings>
注册HTTP处理程序
修改web.config配置文件
IIS6
<httpHandlers>
<!-- 防盗链下载-->
<add verb="*" path="/uploadfiles/files/*.*" validate="false" type="KnownWebHandler.DownHandler,KnownWebHandler"/>
</httpHandlers>
IIS7
<system.webServer>
<handlers>
<!-- 防盗链下载-->
<add name="download" verb="*" path="/uploadfiles/files/*.*" type="KnownWebHandler.DownHandler,KnownWebHandler"/>
</handlers>
</system.webServer>
path="/uploadfiles/files/*.*" 表示只有这里目录里的所有文件才使用KnownWebHandler HTTP处理程序处理。
参考资料
如何自定义IHttpHandler http://dev.mjxy.cn/a-How-to-customize-the-IHttpHandler.aspx
以流的方式下载文件,隐藏实际的下载路径 http://dev.mjxy.cn/a-Download-the-file-to-stream-download-hide-the-real-path.aspx
在ASP.NET中支持断点续传下载大文件 http://dev.mjxy.cn/a-Supported-in-the-ASPNET-HTTP-download-large-files.aspx
IHttpHandler 接口 http://msdn.microsoft.com/zh-cn/library/system.web.ihttphandler(VS.80).aspx HTTP 处理程序和 HTTP 模块概述 http://msdn.microsoft.com/zh-cn/library/bb398986(VS.90).aspx
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Tip: Asp.net下载默认文件名里包含空格时,如何防止FireFox只截取空格前一部分作为文件名
- 如何防止asp.net盗链下载问题的实现方法
- 如何在ASP.NET中下载文件
- ASP.NET如何防止跨站点请求伪造
- 如何在ASP.NET中下载文件
- ASP.NET 中防止 Access 数据库被下载的几种选择
- ASP.NET 中防止 Access 数据库被下载的几种选择(2003/11/25 9:41)
- XP下如何解决“ASP.NET 未被授权访问所请求的资源”
- ASP.NET如何防止页面重复提交
- 如何在ASP.NET中下载文件
- 在asp.net ajax 1.0 的updatePanel中如何实现文件下载
- ASP.NET程序如何防止被注入(整站通用)
- ASP.NET程序如何防止被注入(整站通用)
- ASP.NET : 如何将服务端的多个文件打包下载
- 整理: ASP.NET防盗链IHttpHandler源码如何做的?
- ASP.NET 中防止 Access 数据库被下载的几种选择(2003/11/25 9:41)
- ASP.NET防止文件被下载和查看
- ASP.NET提供文件下载函数(支持大文件、续传、速度限制、资源占用小)
- 如何在ASP.NET中下载文件
- asp.net如何控制文件下载的权限?