防止直接訪問IIS中的文件7

Question

我有一個運行在Micrisoft IIS 7服務器上的PHP應用程序。該應用程序在iFrame上顯示PDF文件，該文件包含用戶的敏感數據，我不想由知道文件地址的任何人直接訪問。

所以基本上，我正在尋找一種方法來保護文件免受直接瀏覽器訪問或下載，但仍然能夠顯示在應用程序的iFrame上。

我做了一些研究與重寫規則，但是由於一個iFrame的「HTTP_REFERER」是空的，我無法找到一個很好的解決方案

這有什麼建議？ 在此先感謝

Answer 1

沒有看到您的任何代碼或您的應用程序如何工作，我只能根據我的想法應用程序的工作原理提供建議。

與其直接顯示這些文件，而是直接鏈接到這些文件，您應該考慮更改您的應用程序，以便PHP讀取目錄，顯示文件名（但希望它們出現），以及鏈接到download.php頁面。下載頁面（在檢查用戶是否有權下載文件之後）將文件加載到內存中，並將其作爲響應（使用適當的Content-Disposition和Content-Type標頭）。由於您的PHP應用程序可以直接在Web目錄內讀取文件，因此您可以設置重寫規則以防止從Web訪問這些文件;這樣，只能由PHP應用程序訪問這些文件，該應用程序不依賴重寫規則來訪問驅動器。

這就是Source Forge這樣的地方可以顯示一個倒計時的廣告，您的文件下載將在5秒內開始。