如何防止匿名用户使用表单身份验证访问文件

一种可能性是将文件放在禁止直接访问的App_Data文件夹中，然后使用通用ASHX处理程序读取文件内容并将其返回给客户端。然后，您可以将对该通用处理程序的访问权限限制为仅经过身份验证的用户：

<%@ WebHandler Language="C#" Class="Download" %>
using System;
using System.Web;
public class Download : IHttpHandler 
{
    public void ProcessRequest (HttpContext context) 
    {
        context.Response.ContentType = "application/octet-stream";
        context.Response.WriteFile("~/App_Data/test.exe");
    }
    public bool IsReusable 
    {
        get 
        {
            return false;
        }
    }
}

并且在web.config中限制对Download.ashx处理程序的访问：

<location path="Download.ashx">
    <system.web>
        <authorization>
            <deny users="?"/>
        </authorization>
    </system.web>
</location>

一个非常简单的方法是使用IIS来阻止对文件夹的匿名访问。只需打开IIS，选择您的站点并选择要保护它的文件夹。选择文件夹后，双击"身份验证"页面中的"身份验证（在IIS部分）"禁用"匿名身份验证"。到目前为止，只有经过站点身份验证的用户才能访问您选择的文件夹。