我继承了一个网络应用程序,该应用程序显示在课堂上注册的学生的“照片名单”。这些图像受到各种法规的保护,因此名册仅供班级指导员使用。图像作为二进制数据存储在SQL Server数据库中,
在原始设计中,图像通过Web处理程序文件(.ashx)提供,该文件根据学生ID值返回图像。名单页面限制用户选择适合他们的课程,从而保护图像。
现在,一些管理员已经学会通过修改URL直接调用Web处理程序文件。我想阻止这种情况,而是将管理员发送到另一个受保护的页面,该页面根据业务规则限制其访问。
我有哪些选项可以锁定Web处理程序/ Web服务以仅响应嵌入在托管页面中的请求?如何阻止用户直接调用处理程序?
答案 0 :(得分:0)
您可以像这样执行处理程序内的身份验证/授权逻辑。
例如,如果用户未登录,以下代码将显示404错误。
public class ImageHandler : IHttpHandler, IRequiresSessionState
{
// 1x1 transparent GIF
private readonly byte[] GifData =
{
0x47, 0x49, 0x46, 0x38, 0x39, 0x61,
0x01, 0x00, 0x01, 0x00, 0x80, 0xff,
0x00, 0xff, 0xff, 0xff, 0x00, 0x00,
0x00, 0x2c, 0x00, 0x00, 0x00, 0x00,
0x01, 0x00, 0x01, 0x00, 0x00, 0x02,
0x02, 0x44, 0x01, 0x00, 0x3b
};
public void ProcessRequest(HttpContext context)
{
//if (context.User.IsInRole("Administrators"))
if (context.User.Identity.IsAuthenticated)
{
context.Response.ContentType = "image/gif";
context.Response.Buffer = false;
context.Response.OutputStream.Write(GifData, 0, GifData.Length);
}
else
{
context.Response.Write("File not found.");
context.Response.StatusCode = 404;
}
}
public bool IsReusable
{
get { return false; }
}
}