一、相关的两个页面downlink.aspx、down.aspx
1、downlink.aspx
在downlink.aspx中放置一个下载链接如 down.aspx?id=值 ,并在前台代码的<head>节中加入以下代码:
<script language="javascript">
function DownDvasp(htmlurl)
{var newwin=window.open(htmlurl,'','toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no,alwaysLowered=no,z-look=no ');return false;}
</script>
在下载链接中加入以下代码:
<asp:HyperLink ID="HyperLinkdown" runat="server">点击下载</asp:HyperLink>
在后台代码中加入以下代码:
if(下载条件)
{
this.HyperLinkdown.NavigateUrl = "down.aspx?id=" + id;
this.HyperLinkdown.Attributes.Add("onclick", "return DownDvasp(this.href);"); //此语句的作用是只要点击了此链接就会弹出一个无工具栏、地址栏、状态栏的新窗口,以便用此窗口盛载down.aspx的内容。这样起到隐藏下载文件的真实地址的作用。
}
else
{
this.HyperLinkdown.Text = "此课件为会员课件,您未登陆或剩余点数不足!";
}
2、down.aspx
在down.aspx中在Page_Load中使用response.redirect("需下载的文件的真实地址")
如:
protected void Page_Load(object sender, EventArgs e)
{
//进行一些业务处理如:下载数增1 ……
Response.Redirect("需下载文件的真实地址“);
}
二、这样做的功能:
1、可简单地隐藏下载文件的物理地址。
2、可实现有条件下载。
3、使用response.redirect()语句可使用一些下载工具进行下载。如果使用文件流的方式它能很好的隐藏下载文件的真实地址,但在下载时却不能使用下载工具下载。
三、应注意的问题:
1、down.aspx页面不能放在有管理规则的文件夹中,down.aspx页面的代码内也不能涉及到用户身份认证之类的代码。一旦涉及到管理规则及认证时,会出现使用下载工具下载时下载的内容是down.aspx而不是需下载的文件的情况,可能是在做重定向时下载工具不能提供身份验证的原因。
2、并不是所有的文件类型都能下载
如有这样一个文件aa.gsp需要下载,结果下载时出现HTTP400文件找不到的错误。
出现这个现象是由于windows2003内的IIS6.0取消了对某些MIME类型的支持。解决方法如下:IIS管理器/网站属性/HTTP头/MIME类型/新建/ 扩展名框中输入不能下载的文件的扩展名,如.gsp MIME类型框中输入application
四、需要探讨的问题:
如果不符合下载条件的用户知道了真实的文件的地址,他就能避开下载条件而在浏览器地址栏中输入地址就能直接下载了。有没有比较好的方法让不符合下载条件的用户真正地无法下载?你可能说在IIS内使用应用程序扩展将下载文件的类型进行映射,一旦进行了映射,就只能使用文件流方式进行下载,使用response.redirect()就会出错,也就不能使用下载工具来进行下载了。
如何真正做到非法用户不能下载而合法用户能使用下载工具下载,并且在下载时能做一些身份验证之类的逻辑?希望大家对此进行讨论。