CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede hlt Juniormester
29. maj 2019 - 13:50 Der er 12 kommentarer og
2 løsninger

Begræns adgang til filer i bestemt mappe

Hej,
Jeg har brug for at begrænse adgang til en mappe på et website for brugere som ikke er logget ind i websitet.
Jeg har lavet en web.config fil til at ligge i mappen, hvor jeg giver adgang til bestemte grupper, og hvis man ikke er logget ind, skal man ikke kunne hverken se eller åbne de filer der ligger i mappen. Det virker tildels også fint, bortset fra at hvis man kender navnet på det dokument man vil åbne, så kan man godt få adgang til at læse det i browseren, ved at taste hele url'en. Men hvis man bare taster mappe navnet, vil man blive nægtet adgang.
Så hvordan kan jeg lukke adgang til filerne, hvis man ikke er logget ind?
På forhånd tak
Avatar billede arne_v Ekspert
30. maj 2019 - 00:04 #1
Er der dynamiske web sider a la .aspx filer eller er det andre filer a la .docx, .pdf etc.?
Avatar billede arne_v Ekspert
30. maj 2019 - 03:02 #2
Hvad har du lagt ind i web.config nu?
Avatar billede hlt Juniormester
30. maj 2019 - 14:01 #3
Det er kun .docx, PDF osv der ligger i mappen.
Min web.config fil ser sådan ud:
<?xml version="1.0"?>
<configuration>
  <system.web>
    <authorization>
      <allow roles="admin"/>
      <allow roles="user"/>
      <deny users="?" />
    </authorization>
  </system.web>
</configuration>
Jeg har prøvet at lave en location="mappenavn", men det virkede ikke rigtigt. Der var flere eksempler på nettet. En hvor location stod som en selvstændig linie, men også en hvor den havde indholdet under sig <location path=xxxx><system.web>.....</location>
Men den fik serveren til at fejle. Den hvor den stod som en selvstændig linie under <system.web> fejlede ikke. Og virkede fint, hvis man altså kun tastede mappe navnet. Men hvis man taster hele urlen til dokumentet, så kan man sagtens åbne det, selvom det ligger i den mappe man altså ikke har adgang til.
Avatar billede arne_v Ekspert
30. maj 2019 - 22:01 #4
Jeg har en mistanke om at problemet er at de filer serves direkte af IIS udenom ASP.NET - og web.config bruges kun af ASP.NET.

Hvis det er rigtigt så er der 2 muligeheder:
1) Få konfigureret IIS til at goere det rigtige
2) Flytte filerne udenfor IIS traet og have en download.ashx i directory som styrer adgangen til disse filer
Avatar billede hlt Juniormester
31. maj 2019 - 01:55 #5
Jeg tænkte lidt i den sidste retning. Kunne man lave et eller andet som du skriver, med en .net fil, som styrer visningen, men hvor det der står i urlen er en anden sti end den hvor dokumentet ligger?
Avatar billede arne_v Ekspert
31. maj 2019 - 03:13 #6
Ja.

En download.ashx som kaldes med:

/mappe/download.ashx?file=foobar.pdf

som saa streamer indholdet af \andenmappe\foobar.pdf tilbage til browser med korrekt content type.
Avatar billede hlt Juniormester
31. maj 2019 - 13:00 #7
Jeg tænkte bare at der måske var en løsning hvor man kunne lave lidt ala en urlrewrite... Bare et quickfix. Jeg må se om jeg kan finde et eksempel på en ashx fil
Avatar billede hlt Juniormester
31. maj 2019 - 15:42 #8
Nu har jeg prøvet at finde et eksempel, og det er tilsyneladende ikke så nemt. Jeg fandt et, men hvor det var en alm. .cs fil, men hvor man skulle ændre en hel del i config filen. Og det virkede ikke rigtigt. Hvis jeg lavede eksemplet, kom der en fejl, med at serveren ikke kunne loade filen. Så det opgav jeg. Men jeg synes det er lidt mærkeligt at der ikke er nogen der har siddet med samme problem?
Du skulle vel ikke ligge inde med noget kode til ashx filen?
Avatar billede arne_v Ekspert
31. maj 2019 - 18:48 #9
Jeg laver lige et eksempel.

Men foerst om nogle timer. Jeg har en graesplaene som venter.  :-)
Avatar billede arne_v Ekspert
31. maj 2019 - 19:02 #10
Naa skidt pyt. Jeg lavede den lige.


<%@ WebHandler Language="C#" Class="E.Download" %>

using System;
using System.Web;

namespace E
{
    public class Download : IHttpHandler
    {
        private const string LOCATION = @"C:\work\";
        public void ProcessRequest (HttpContext ctx) {
            string fnm = ctx.Request["file"];
            ctx.Response.ContentType = "application/octet";
            ctx.Response.Headers.Add("Content-Transfer-Encoding", "binary");
            ctx.Response.Headers.Add("Content-Disposition", "attachment; filename=" + fnm);
            ctx.Response.TransmitFile(LOCATION + fnm);
        }
        public bool IsReusable
        {
            get { return true; }
        }
    }
}


http://hostname/download.ashx?file=foobar.zip

henter C:\work\foobar.zip
Avatar billede hlt Juniormester
31. maj 2019 - 19:08 #11
Hej igen,
Jeg tror dælme jeg fik det til at virke. Jeg skal lige rette det lidt til. Men jeg tror det virker. Giver lige en tilbagemelding. God fornøjelse med græsplænen :-)
Avatar billede hlt Juniormester
31. maj 2019 - 22:49 #12
Tak for din kode. Jeg nåede ikke at skrive, inden du havde lagt det op. Men jeg fik det til at virke. Jeg fandt langt om længe noget kode der kunne bruges. Skulle jo så lige spores ind på hvad det var jeg skulle have.
Jeg kigger din kode igennem. Men tusind tak for hjælpen. Jeg ville gerne give point, men det er man gået bort fra?? Det er lang tid siden jeg har været på eksperten :-)
Avatar billede arne_v Ekspert
01. juni 2019 - 01:05 #13
Af sikkerhedsgrunde skal koden nok se ud som:


<%@ WebHandler Language="C#" Class="E.Download" %>

using System;
using System.Net;
using System.Web;

namespace E
{
    public class Download : IHttpHandler
    {
        private const string LOCATION = @"C:\work\";
        public void ProcessRequest (HttpContext ctx) {
            string fnm = ctx.Request["file"];
            if(fnm.Contains("..") || fnm.Contains("/"))
            {
                ctx.Response.StatusCode = (int)HttpStatusCode.Forbidden;
                return;
            }
            ctx.Response.ContentType = "application/octet";
            ctx.Response.Headers.Add("Content-Transfer-Encoding", "binary");
            ctx.Response.Headers.Add("Content-Disposition", "attachment; filename=" + fnm);
            ctx.Response.TransmitFile(LOCATION + fnm);
        }
        public bool IsReusable
        {
            get { return true; }
        }
    }
}
Avatar billede arne_v Ekspert
01. juni 2019 - 01:05 #14
Men stadig meget meget simpel kode.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra ASP.NET kategorien

Titel Indlæg Oprettet Seneste aktivitet
valgte i checkboks og comboboks opdater gui og backend Af keepy i ASP.NET 0 01/10/202318:39 -
Webservice Af SommerFyr i ASP.NET 19 11/05/202313:43 31/05/202315:08
ASP:Image og JPG/PDF Af TV47 i ASP.NET 4 25/03/202318:49 31/03/202310:24
www til non-www og HTTPS Af KOH i ASP.NET 2 16/03/202312:31 22/03/202310:19
Window.Open og passing af parameter Af TV47 i ASP.NET 1 14/07/202215:22 20/08/202213:03
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 00:02 Telefon til USA Af MOAN i Mobiltelefoner
I går 18:52 slette rækker automatisk Af torben lind i Excel
I går 18:28 Spalter Af Nysum i Word
I går 17:59 Genoprette router firmware Af Wombat i Routere & Switches
I går 13:40 Hjælp hjælp hjælp Af Esther i Musik & videoafspillere
White papers
Flere white papers »


Premium
Teaser billede
Microsoft advarer: Russiske hackere udnytter flere år gammel Windows-sårbarhed til at stjæle data
Læs mere »
Offentlige myndigheder kan snart få adgang til virksomheders data
HPE’s salg i Danmark går 200 millioner kroner tilbage: Modtager penge fra moderselskab for at få overskud
Facebook var tæt på at forlade Europa: Her er de største GDPR-øjeblikke fra 2023
Se alle »
Computerworld
Teaser billede
På tur i BMW's mægtigste elbil: Sådan er livet ombord i en monumental million-ellert
Læs mere »
Porno-giganterne Pornhub og XVideos skal indlevere materiale til EU
En hyldest til klodens snedigste tablet-design: Nu er fremtiden for Microsofts hardware endnu mere uvis
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Se alle »
CIO
Teaser billede
Nu kan mange flere opgradere deres gamle Windows 10-pc'er til Windows 11: Se om du kan opgradere
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
På denne dato er det slut med udbredte versioner af Office: Microsoft vil have dig over på de dyrere E3-licenser
Ja, AI vil betyde fyringer og eliminering af stillinger – disse grupper bliver ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Se alle »
White paper
Teaser billede
MDR: Transparent sikkerhed og overvågning i realtid
Læs mere »
Opdag fordelene ved cloud-baseret backup og recovery
Sådan høster du forretningsfordelene ved Internet of Things
Cybersikkerhed: Skær antallet af alarmer ned fra tusindvis til blot en håndfuld
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »