防止用户访问图像目录内容

Question

我正在使用 ASP.NET MVC4 创建一个站点，该站点上的功能之一是供用户上传图像。这些图像可能是个人性质的，几乎肯定包含他们孩子的图像。

图像连同其元数据一起存储在 MS Azure SQL 数据库中。为了节省 azure 上的带宽使用，一旦下载了图像，它就会保存到用户目录

~/UserImages/<Username>/<Image>

加载图库页面时，控制器操作会根据用户目录中的内容检查数据库，并删除任何不存在的内容。

目录的<Username> 部分是控制器在需要时创建的，因此我无法对其设置IIS 权限。但是，即使我是，我也不确定 IIS 能做什么，因为事先不知道用户（新注册等）。

由于 MVC 路由，用户无法通过猜测用户名来访问其他用户目录，但是如果您可以猜测用户名和图像名，那么它会显示。我正在寻找防止这种情况发生的想法，以尽量减少其他人的图像暴露给他人的机会。

我尝试了IgnoreRoute，但这不起作用。

routes.IgnoreRoute("UserImages/{*pathInfo}");

理想情况下，我会在注销时清除 UserImages 目录，但不是每个人都会使用注销命令。如果它们被清除，那么在删除文件之前找到用户名和图像名组合的可能性就会小得多。

Answer 1

不如将缓存图像存储在在实际站点结构中作为由 IIS 提供的静态内容，而是将图像存储在站点外部的路径中。

这将确保未经授权的用户无法直接访问它们。

然后您可以通过Controller（可能是UserImagesController）操作来提供对这些图像的访问权限，该操作可以验证所请求的图像是当前用户可以访问的图像。

您的检查最终可能会像检查请求的操作的UserName 参数与您当前用户的UserName 一样简单。

通过这种方法，您还可以控制这些图像的缓存标头、过期等。