ASP.NET Core 中如何安全高效地访问 wwwroot 外部的静态文件

理解 ASP.NET Core 的静态文件服务机制

asp.net core 应用程序在设计上，将 wwwroot 文件夹视为其“web 根目录”。这意味着，所有需要通过 http 直接提供给客户端（浏览器、javascript 等）的静态资源，如 html、css、javascript、图片、音频文件等，都应放置在该文件夹内或其子文件夹中。这是出于安全和组织结构上的考虑，确保只有明确指定为可公开访问的资源才能被外部访问。

当客户端（例如通过 JavaScript）尝试访问一个位于 wwwroot 外部的文件路径时，服务器会返回 404 Not Found 错误，因为它没有被配置为服务该路径下的文件。例如，如果您的项目结构如下：

MyWebAPP:.
├───TempFiles
│    ├─── file.wav
├───wwwroot
│    ├─── css
│    ├─── js

并且您尝试通过 JavaScript 访问 /TempFiles/file.wav，即便文件真实存在于服务器的 TempFiles 文件夹中，客户端也无法直接获取。

解决方案一：将文件移动到 wwwroot 文件夹

最直接且推荐的解决方案是遵循 ASP.NET Core 的约定，将需要客户端访问的静态文件放置在 wwwroot 文件夹内。如果您的 TempFiles 文件夹中的文件是临时的，但又需要被客户端访问，可以考虑将其创建或复制到 wwwroot 下的一个子文件夹中。

操作步骤：

1. 在 wwwroot 文件夹下创建一个名为 TempFiles 的子文件夹。
2. 将 file.wav 或其他需要访问的文件放置到 wwwroot/TempFiles/ 路径下。

客户端访问示例：

如果文件位于 wwwroot/TempFiles/file.wav，那么在客户端 JavaScript 中，可以直接通过相对路径或根路径访问：

// 假设 SignalR 返回的 fileUrl 已经是服务器根路径下的相对路径
// 例如，如果服务器返回 "/TempFiles/file.wav"
const relativeFilePath = fileUrl; // fileUrl 已经可以直接使用
$("#audio-player").attr("src", relativeFilePath);

// 或者，如果需要手动构建路径
$("#audio-player").attr("src", "/TempFiles/file.wav");

优点： 简单、符合框架约定、安全性高（仅 wwwroot 内容可访问）。 缺点： 如果文件是动态生成且不应长期存在于 wwwroot，或者 TempFiles 文件夹有其他非 Web 访问用途，此方法可能不适用。

解决方案二：配置 StaticFileOptions 服务 wwwroot 外部文件

当文件不适合或不能移动到 wwwroot 文件夹时（例如，它们位于应用程序的根目录，或者在文件系统中的其他位置），您可以通过配置 StaticFileOptions 来扩展 ASP.NET Core 的静态文件服务能力。这允许您将一个物理文件路径映射到一个虚拟的 URL 路径，从而使客户端能够访问这些文件。

适用场景：

小绿鲸英文文献阅读器

英文文献阅读器，专注提高SCI阅读效率

199

查看详情

• 文件位于项目根目录下的特定文件夹（如 TempFiles）。
• 文件位于服务器文件系统中的其他位置。
• 需要严格控制哪些外部文件可以被访问。

配置步骤与代码示例：

在 ASP.NET Core 应用程序的 Program.cs 文件中（或 Startup.cs 的 Configure 方法中），添加以下配置代码：

using Microsoft.Extensions.FileProviders;
using System.IO; // 确保引入 System.IO 命名空间

var builder = WebApplication.CreateBuilder(args);

// ... 其他服务配置 ...

var app = builder.Build();

// ... 其他中间件配置 ...

// 配置 StaticFileOptions 以服务 wwwroot 外部的 TempFiles 文件夹
app.UseStaticFiles(new StaticFileOptions
{
    // 指定物理文件提供程序，指向项目根目录下的 "TempFiles" 文件夹
    FileProvider = new PhysicalFileProvider(
        Path.Combine(builder.Environment.ContentRootPath, "TempFiles")),
    // 定义客户端访问这些文件的 URL 路径前缀
    RequestPath = "/TempFiles"
});

// 确保默认的 wwwroot 静态文件服务也在配置之前或之后被调用
// 通常 app.UseStaticFiles(); 会在上面这个自定义配置之前或之后被调用
// 如果没有其他参数，它会默认服务 wwwroot 文件夹
app.UseStaticFiles(); 

app.Run();

代码解析：

• app.UseStaticFiles(new StaticFileOptions { ... }): 这是一个重载方法，允许您为静态文件服务提供自定义选项。
• FileProvider = new PhysicalFileProvider(...): 这是关键部分。PhysicalFileProvider 创建了一个文件提供程序，它能够访问文件系统中的物理路径。
  • Path.Combine(builder.Environment.ContentRootPath, "TempFiles"): builder.Environment.ContentRootPath 获取了应用程序的根目录（通常是项目文件 .csproj 所在的目录）。Path.Combine 用于安全地构建到 TempFiles 文件夹的完整物理路径。
• RequestPath = "/TempFiles": 这定义了客户端在请求这些文件时使用的 URL 路径前缀。例如，如果 PhysicalFileProvider 指向的文件夹中有一个 file.wav，那么客户端可以通过 http://yourdomain.com/TempFiles/file.wav 来访问它。

客户端访问示例：

经过上述配置后，客户端 JavaScript 代码就可以通过 RequestPath 定义的 URL 路径来访问文件：

connection.on("ReceiveFile", function (fileUrl) {
    // 假设 SignalR Hub 返回的 fileUrl 可能是服务器的内部路径，
    // 例如 "/LearningWithAI-WebLayer/TempFiles/file.wav"
    // 或者直接就是 "/TempFiles/file.wav"

    // 如果返回的 fileUrl 包含项目名称前缀，需要移除以匹配 RequestPath
    const relativeFilePath = fileUrl.replace("/LearningWithAI-WebLayer", "");
    // 此时 relativeFilePath 应该类似于 "/TempFiles/file.wav"

    // 应用文件 URL 到音频播放器
    $("#audio-player").attr("src", relativeFilePath);
});

请注意，RequestPath 定义的是客户端访问的 URL 路径，而不是服务器上的物理路径。在上面的例子中，RequestPath = "/TempFiles" 意味着客户端请求 /TempFiles/file.wav 时，服务器会在 ContentRootPath/TempFiles/ 目录下查找 file.wav。

重要注意事项

1. 安全性考量：
   • 谨慎暴露： 只有当您确定这些文件需要被公开访问时，才应使用 StaticFileOptions 暴露 wwwroot 外部的文件夹。
   • 路径限制： 避免将 FileProvider 指向包含敏感信息或应用程序配置文件的目录（如 bin、obj、appsettings.json 所在目录）。
   • 权限管理： 确保 IIS/Kestrel 进程对 PhysicalFileProvider 所指向的物理路径具有读取权限。
2. 性能与缓存：
   • 对于静态文件，浏览器和服务器通常会进行缓存。StaticFileOptions 也支持配置缓存头，以优化性能。
   • 如果文件频繁更新，请考虑缓存策略，例如使用版本号或 ETag。
3. 替代方案（控制器流式传输）：
   • 如果文件包含敏感信息，或者您需要对文件访问进行更细粒度的控制（例如，基于用户身份验证和授权），则不应直接作为静态文件提供。
   • 在这种情况下，更好的方法是创建一个 MVC 控制器动作，该动作负责读取文件内容并将其作为 FileStreamResult 或 FileContentResult 返回。这样，您可以在文件发送前执行所有必要的安全检查。

总结

在 ASP.NET Core 中，访问 wwwroot 外部的静态文件主要有两种策略：将文件移动到 wwwroot 内部（最简单直接），或通过配置 StaticFileOptions 和 PhysicalFileProvider 来映射外部物理路径到可访问的 URL 路径。选择哪种方法取决于文件的性质、安全性要求以及应用程序的整体架构。始终优先考虑安全性，避免不必要地暴露敏感文件。

以上就是ASP.NET Core 中如何安全高效地访问 wwwroot 外部的静态文件的详细内容，更多请关注php中文网其它相关文章！