在MVC6中,如何阻止直接访问wwwroot中的文件夹
本文关键字:访问 wwwroot 文件夹 何阻止 MVC6 | 更新日期: 2023-09-27 18:29:23
我们正在最新的MVC框架中开发一个应用程序,到目前为止一切都很好。在我们的应用程序中,我们决定在wwwroot/app下的项目中嵌入一个angular应用程序。我创建了一个应用程序控制器,除非用户获得授权,否则查看并禁止访问该应用程序。当未经授权的用户试图访问localhost/app时,这非常有效——它会将他们踢回C#应用程序登录页面。
我想更进一步,还禁止访问该文件夹中的直接文件,如localhost/app/scripts/controllers/name.js或partial html files/app/partials/name-partial.html。过去我会进入web.config并添加以下代码,但我还没有找到最新框架的等效代码。理想情况下,如果可能的话,我希望这是startup.cs或appsettings.json中的一个条目
<location path="app">
<system.web>
<authorization>
<allow roles="User" />
<deny roles="*" />
</authorization>
</system.web>
</location>
经过进一步研究,实现您想要的功能的最简单方法似乎是在配置UseStaticFiles时实际使用OnPrepareResponse StaticFileOption。
以下内容将放在Startup.cs内部:
public void Configure(IApplicationBuilder app, IHostingEnvironment env,
ILoggerFactory loggerFactory)
{
app.UseStaticFiles(new StaticFileOptions()
{
OnPrepareResponse = s =>
{
if (s.Context.Request.Path.StartsWithSegments(new PathString("/app")) &&
!s.Context.User.Identity.IsAuthenticated)
{
s.Context.Response.StatusCode = 401;
s.Context.Response.Body = Stream.Null;
s.Context.Response.ContentLength = 0;
}
}
});
}
以上代码将仅在wwwroot内执行静态文件时运行,特别是在以"/app"段开头的任何路径内。如果未通过身份验证,它会重写响应,从而不会将正常内容连同适当的状态代码一起传递给客户端。
这里有一种截然不同的方法,它使用内联中间件来阻止特定路径的未经验证的请求:
app.Use((context, next) => {
// Ignore requests that don't point to static files.
if (!context.Request.Path.StartsWithSegments("/app")) {
return next();
}
// Don't return a 401 response if the user is already authenticated.
if (context.User.Identities.Any(identity => identity.IsAuthenticated)) {
return next();
}
// Stop processing the request and return a 401 response.
context.Response.StatusCode = 401;
return Task.FromResult(0);
});
请确保在您的身份验证中间件之后(或不会填充context.User)和在其他中间件之前(在您的情况下,在静态文件中间件之前)注册它。您还必须确保使用的是自动身份验证(AutomaticAuthenticate = true)。如果没有,您将不得不使用身份验证API:
app.Use(async (context, next) => {
// Ignore requests that don't point to static files.
if (!context.Request.Path.StartsWithSegments("/app")) {
await next();
return;
}
// Don't return a 401 response if the user is already authenticated.
var principal = await context.Authentication.AuthenticateAsync("Cookies");
if (principal != null && principal.Identities.Any(identity => identity.IsAuthenticated)) {
await next();
return;
}
// Stop processing the request and trigger a challenge.
await context.Authentication.ChallengeAsync("Cookies");
});
注意:如果你想防止cookie中间件用302重定向代替401响应,下面是你可以做的:
使用Identity(在ConfigureServices中)时:
services.AddIdentity<ApplicationUser, IdentityRole>(options => {
options.Cookies.ApplicationCookie.Events = new CookieAuthenticationEvents {
OnValidatePrincipal = options.Cookies.ApplicationCookie.Events.ValidatePrincipal,
OnRedirectToLogin = context => {
// When the request doesn't correspond to a static files path,
// simply apply a 302 status code to redirect the user agent.
if (!context.Request.Path.StartsWithSegments("/app")) {
context.Response.Redirect(context.RedirectUri);
}
return Task.FromResult(0);
}
};
});
使用没有标识的cookie中间件时(在Configure中):
app.UseCookieAuthentication(options => {
options.Events = new CookieAuthenticationEvents {
OnRedirectToLogin = context => {
// When the request doesn't correspond to a static files path,
// simply apply a 302 status code to redirect the user agent.
if (!context.Request.Path.StartsWithSegments("/app")) {
context.Response.Redirect(context.RedirectUri);
}
return Task.FromResult(0);
}
};
});
为了防止用户直接访问文件夹,请尝试此代码
<security>
<requestFiltering>
<hiddenSegments>
<add segment="folderName"/>
</hiddenSegments>
</requestFiltering>
</security>