使用 <a href> 时如何在地址栏中隐藏 URL

Question

我在一个使用 ASP MVC 5 的项目中的一个文件夹中存储了几个文档。查看该文档的 HTML 链接是：

<a ng-href="~/download/document/{{vm.document}}"><a/>

然后这个 URL 将在地址栏中看到它： http://localhost:20870/download/document/d47a1c96-e4d7-423b-aa83-76537c392ad2.pdf

为了安全，我不希望这个 URL 可见！

Answer 1

正如其他人所指出的，网址是公开的。没有合理的方法可以完全对用户隐藏它们。

但是，您可以使用 MVC 来控制对资源（例如物理文件）的访问。

默认情况下，MVC 不提供物理文件，IIS 直接提供它们。假设您的文件实际位于 /download/document/ 虚拟目录中，首先要阻止通过您的根 web.config 文件直接访问该文件夹。

<location path="download/document">
    <system.web>
        <authorization>
            <deny users="*" />
        </authorization>
    </system.web>
</location>

这确保没有用户（无论是否登录）可以直接通过 IIS 访问该文件。

然后，您可以结合[Authorize] 属性使用控制器操作方法来控制谁可以访问该文件。

public class SecureDownloadController : Controller
{
    [Authorize]
    public ActionResult Document(string id)
    {
        return File(@"D:\wwwroot\documents\download\" + id, "application/pdf");
    }
}

以上内容将允许任何登录用户访问 URL http://localhost:20870/securedownload/document/d47a1c96-e4d7-423b-aa83-76537c392ad2.pdf 上的文件。

重要提示：切勿在 URL 中为文件使用真实位置。 IIS 将支持 MVC 控制器操作的物理位置，因此如果物理文件存在，您将收到错误。您可能不希望用户知道文件的物理位置。

您可以使用以下方法进一步将其限制为特定的用户角色或角色：

[Authorize(Roles = "Admin,SuperUser")]

或者，您可以继承 [Authorize] 属性并使用其他方式来保护文件，例如，通过 HTTP 标头传递哈希码。

另一种可能的选择：Generate the PDF as a stream，而不是使用保存在磁盘上的物理文件。这确保没有可以访问文件的物理路径 - 它只能通过控制器操作方法访问。它还确保您永远不必清理一次性 PDF 文件的目录。

参考资料：

• Protecting folders in MVC
• Download file of any type in Asp.Net MVC using FileResult?
• Stream file using ASP.NET MVC FileContentResult in a browser with a name?

Answer 2

亲爱的url隐藏不会有好处，因为我们可以通过在network选项卡上按F12来了解请求的详细信息。

以更好的方式保护您的文档。我认为基于角色的安全性会很好，并且对文档的访问取决于请求。

Answer 3

你应该使用这个

<a href="javascript:void(0)" onclick="location.href='" . $ajax_like_link . "'">Link</a>