ASP.NET 4: доступ к ресурсам не авторизированным пользователям / ASP.NET

ReSQL.ru

2.0.61

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / ASP.NET 4: доступ к ресурсам не авторизированным пользователям / 10 сообщений из 10, страница 1 из 1

17.03.2012, 17:53

#37710000

Участник

Сообщения: 3 947
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

Думал что со времен 3.5 уже все ресурсы по-умолчанию недоступны если юзер не авторизован, ан нет - создал web-проект в VS11
в web.config

Код: c#

1.
2.
3.
4.
5.
6.
7.
8.

		<authentication mode="Forms">
			<forms name=".AUTHCOOKIE" protection="All" slidingExpiration="false" timeout="10" />
		</authentication>
		
		<authorization>
			<deny users="?" />
			<allow users="*" />
		</authorization>

Однако не авторизовавшись имею доступ ко всем .htm файлам, наверно и ко всему статическому контенту тоже
Где тут собака порылась? или это не надо работать в выходные? :)

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 03:15

#37710354

Участник

Сообщения: 3 947
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

пул - .Net 4, встроенный

Ничего не пойму, почему доступ к статическим страницам, несмотря на запрет, имеется (

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 04:08

#37710360

bazile

Участник

Сообщения: 3 121
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

sp, .net может запретить доступ только к тем ресурсам которые отдаются через него. Так что это не вопрос версии фреймворка, а правильной настройки IIS.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 05:19

#37710368

Участник

Сообщения: 3 947
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

bazile,

настройки я привел в посте?
раньше вроде этого было достаточно - а сейчас нет! где тут собака порылась?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 11:14

#37710419

ShSerge

Участник

Откуда: ʚонɔ dиw
Сообщения: 24 440
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

При чём здесь вэбконфиг? Сервер (ИИС) в него даже не заглядывает, когда выдаёт хтмл-страницы. А в настройках своего ИИСа Вы можете вообще запрет на все htm-файлы сделать, только смысла в этом - никакого (разве что с хендлером, см. ниже).
В конец-концов, сделайте из своих статических страничек aspx-страницы, или отдавайте их хендлером, можете вообще их в ресурсы сунуть. Короче, вариантов очень много, но так как Вы делаете, запретить отдавать статические страницы - не получится.
ПС. Если страниц очень много - отдавайте их хендлером, типа http: //мой_сайт/pages.ashx?page=page1.html.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 15:24

#37710543

bazile

Участник

Сообщения: 3 121
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

spнастройки я привел в посте?
раньше вроде этого было достаточно - а сейчас нет! где тут собака порылась?
Тебе нужно настроить IIS так чтобы запросы к статическому контенту отбрабатывались ASP.NET. По умолчанию это выключено. Прочитай статье How to Take Advantage of the IIS 7.0 Integrated Pipeline , в ней приводится решение с объяснением.

ShSergeПри чём здесь вэбконфиг? Сервер (ИИС) в него даже не заглядывает, когда выдаёт хтмл-страницы.
Не совсем так. Настройки из элемента system.webServer он будет брать в расчет для всех файлов.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

18.03.2012, 19:29

#37710775

Участник

Сообщения: 3 947
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

bazile,

Спасибо, помогло!
Но как-то через чур мудрено они придумали все это:

Код: html

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.

Taking Advantage of the Integrated Pipeline

The default configuration for all managed modules shipped with IIS 7.0, including the Forms Authentication and URL Authorization modules, uses a precondition so that these modules only apply to content that an  (ASP.NET) handler manages. This is done for backwards compatibility reasons.
By removing the precondition, we make the desired managed module execute for all requests to the application, regardless of content. This is necessary in order to protect our static files, and any other application content with Forms-based authentication.
To do this, open the application's web.config file located in the %systemdrive%\inetpub\wwwroot directory, and paste the following lines immediately below the first <configuration> element:
<system.webServer> 
<modules> 
    <remove name="FormsAuthenticationModule" />    
   <add name="FormsAuthenticationModule" type="System.Web.Security.FormsAuthenticationModule" />    
    <remove name="UrlAuthorization" />    
    <add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" />    
    <remove name="DefaultAuthentication" />    
    <add name="DefaultAuthentication" type="System.Web.Security.DefaultAuthenticationModule" />    
</modules> 
</system.webServer> 
  
This configuration re-adds the module elements without the precondition, enabling them to execute for all requests to the application.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

20.03.2012, 12:53

#37713278

SanSYS

Участник

Сообщения: 1 908
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

sp,

кстати говоря, на крайний случай можно вручную обрабатывать эти типы файлов, т.е. регистрируем в конфиге что-то вроде этого:

Код: xml

<add name="MyHtmHandler" path="*.htm" verb="GET" type="Handlers.MyHtmHandler" />

а в хендлере уже делаем нужные проверки

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

20.03.2012, 13:18

#37713345

Участник

Сообщения: 3 947
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

SanSYSsp,

кстати говоря, на крайний случай можно вручную обрабатывать эти типы файлов, т.е. регистрируем в конфиге что-то вроде этого:

Код: xml

<add name="MyHtmHandler" path="*.htm" verb="GET" type="Handlers.MyHtmHandler" />

а в хендлере уже делаем нужные проверки

это понятно - хочется чтоб все из коробки работало без дополнительного кодирования )

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

20.03.2012, 22:34

#37714595

SanSYS

Участник

Сообщения: 1 908
Рейтинг: 0 / 0

ASP.NET 4: доступ к ресурсам не авторизированным пользователям

spSanSYSsp,

кстати говоря, на крайний случай можно вручную обрабатывать эти типы файлов, т.е. регистрируем в конфиге что-то вроде этого:

Код: xml

<add name="MyHtmHandler" path="*.htm" verb="GET" type="Handlers.MyHtmHandler" />

а в хендлере уже делаем нужные проверки

это понятно - хочется чтоб все из коробки работало без дополнительного кодирования )

потому и крайний случай

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=18&mobile=1&tid=1359802]:	0ms
get settings:	9ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	163ms
get topic data:	9ms
get forum data:	3ms
get page messages:	39ms
get tp. blocked users:	1ms
others:	227ms

total:	470ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы