Dotnet core：阻止通过浏览器直接访问图像的最佳方法是什么？

Question

我已经设置了一个 dotnet 核心 API（在 IIS8 上），它为（aurelia）应用程序打开了一个上传文件夹。我已经像这样打开了对该文件夹的访问权限

app.UseFileServer(new FileServerOptions()
        {
            FileProvider = new PhysicalFileProvider(Configuration["ApiSettings:UploadsFolder"]),
            RequestPath = new PathString("/uploads/"),
            EnableDirectoryBrowsing = true
        });

这很好用，因为应用程序可以通过 URL 在应用程序中打开上传的图像。现在，当直接在浏览器中输入 URL 时，我想阻止对这些图像的访问。我见过 C# 解决方案，但找不到 dotnet 核心解决方案。

我正在使用中间件拦截发送到 api 的请求。但无法通过浏览器拦截特定的图像请求并阻止它们。唯一允许访问图像的应该是我在固定域上的 aurelia 应用程序。

public async Task Invoke(HttpContext context)
{
     StringValues referer;
     context.Request.Headers.TryGetValue("Referer", out referer);

     // Referer will contain the full URL of the image when requested
     // via the browser. When its requested differently it will contain
     // the url of the requesting application
     if (referer.Any() && referer.First().Contains("/uploads/"))
     {
         context.Response.StatusCode = 401;
         return;
     }

     await _next.Invoke(context);
}

谁能告诉我最好的方法是阻止直接访问图像并只允许某个应用程序加载图像？

Answer 1

对静态文件的请求不会影响到您，因为 IIS 的静态文件处理程序会在请求到达 .NET Core 之前对其进行处理。

只需从 IIS 的“模块”功能中删除“StaticFileModule”（对于您的 .NET Core 网站或在服务器级别），请求就会通过。

这里是提到这一点的官方 .NET Core 文档：https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files#considerations

编辑

根据文档：

如果启用了 IIS 静态文件处理程序并且未正确配置 ASP.NET Core 模块 (ANCM)（例如，如果未部署 web.config），则会提供静态文件。

这实际上与我上面提到的相反。虽然删除静态文件处理程序应该仍然可以解决问题，但您还应该检查您的 ANCM 配置。