我正在维护允许用户登录,回答问卷和其他问题的.NET(C#)Web应用程序。我们在IIS 7下托管该网站。登录后,用户可以访问诸如pdf,mp3和mp4(视频)等媒体文件。假设我们的网站是http://www.webapplication.com.NET应用程序:在独立的IIS站点上托管媒体文件的安全问题
我们最近修改了我们的web应用程序以满足移动设备的需求。然而,在这样做的时候,有人指出,当被Web应用程序中的硬件路径访问时,例如C:\ webapplication \ mediafiles \ myfilenampe.mp4,视频(mp4's)不会显示在移动设备上。视频文件只有在我们访问media.webapplication.com等网站时才会显示。所以我们做了以下工作:
1)在IIS中创建一个单独的文件服务器,调用它(与上面的示例一致)media.webapplication.com。该网站没有运行应用程序,它只包含媒体文件。
2)从我们的web应用程序(www.webapplication.com)访问媒体,其中嵌入式链接指向media.webapplication.com中的文件。下面是我们的webapp指向的一个文件示例:http://media.webapplication.com:1313/video/qabzxujzyrzcspcmskjuadpkg.mp4
然而,我们的实现存在一个安全问题。如果一个人有确切的链接到媒体网站和任何给定的文件(如上面#2中的例子),他们可以访问互联网上任何地方(在任何浏览器中)的文件,而无需登录www.webapplication.com。
所以问题是,限制访问media.webapplication.com中的文件的最佳方法是什么,使它们只能在www.webapplication.com下使用我们的webapp的人访问?这甚至是可能的,或者我应该寻找一种方法来将媒体文件托管在与我们的webapp相同的站点中?
对不起,迟到的反应非常糟糕。 我已经根据您的链接创建了虚拟目录。当我通过浏览器访问它时(http://www.webapplication.com/media/),我得到:403 - 禁止访问:访问被拒绝。这是一件好事,因为它限制了访问。现在我想弄清楚的是如何让用户访问虚拟目录。我不知道如何做到这一点。有什么建议么?再次,我正在运行一个.NET C#应用程序。 – user3008878
我建议你看一下https://msdn.microsoft.com/en-us/library/windows/desktop/aa363156(v=vs.85).aspx,具体是“指定远程共享的权限” – MortenF
有几乎没有任何关于如何或在哪里实际配置您提供的链接中虚拟目录的权限。文本只是干扰所有背景智能传输服务(BITS)能够和不可以做什么,限制是什么等等。 – user3008878