asp.net-mvc - 如何保护用户上传的文件

Question

我有 asp mvc 项目。我在其中添加了目录结构:

...
  UserUploads
    User_1
      Images
        Original
        Thumb
        Display
    User_2
    User_n
...

如何让这个文件夹结构对用户不可见？我不希望未经授权的用户通过键入 url 看到此图像。每个用户都有自己的图像，只有某个用户的“ friend ”用户才能看到它的图像。我检查了 facebook 图片，图片地址如下:

http://a4.sphotos.ak.fbcdn.net/hphotos-ak-ash4/296040_2530953916384_1329592446_32898884_1499197273_n.jpg

那么确保用户上传文件安全的最佳做法是什么？

Answer 1

那么，您可以使用 2 种方法:

1. 真正的安全性 - 完全限制对文件夹结构的访问，并且仅使用一些 HttpHandler(或 MVC 操作)来为它们提供服务(在评估访问权限后，通过 TransferFile 或流写入器将它们写入响应......)。从性能的角度来看，这是非常糟糕的——没有缓存，每张图片的整个服务器端处理等等。

2. “混淆”安全性 - 简单地生成无法猜测的文件名(Guid 是很好的候选者)，因此任何无法访问将其文件名生成为 HTML 的页面的人都无法直接访问它们。当然，如果一个“ friend ”访问它，然后将文件 URL 提供给未经授权的人，但他可以轻松地将文件本身发送给他......这种方式的性能非常好 - 文件可缓存(通过 IIS 和客户端)，您的应用不必处理图像请求等。