我们一般都是通过输入一个URL或者点击一个指向某文件链接来进行下载。这种方式会显示出文件的真实地址,容易被盗链且安全性不高,如果要控制文件下载权限需要另外再进行控制。
本文介绍一种以不显示路径的方式提供文件下载。它可用于一些安全性较高的环境,如需要为不同用户提供不同文件的下载但又不能让用户下载到他不该下载的文件。也可用于精确的下载计数、下载数据分析以及防盗链的环境。
实现过程并不复杂,代码也比较简单。
1 string path = @"C:\Demo\test.pdf";
2 Response.ContentType = "application/pdf";
3 //Response.AddHeader("Content-Disposition", "attachment;filename=download.pdf");
4 Response.TransmitFile(path);
5 Response.End();
path是下载的文件的物理路径,可以根据不同的用户不同的需求以不同的逻辑来生成。存放这些文件的文件夹可以是计算机上的任意文件夹,不必一定在Web服务器站点的文件夹中,也就是说这个文件夹可以是无法通过Web服务器以普通方式访问到的位置。在生成path前可以对用户进行验证以确保其能访问该文件,在生成path后也可以对当前的下载进行记录,以便日后分析数据。
ContentType如果设置成application/octet-stream则会在客户端弹出打开或保存文件的对话框,也可设置成文件对应的类型,以便客户端浏览器来决定进行何种操作,如pdf文件可设置成application/pdf。
在header中加入Content-Disposition信息可以为用户下载的文件指定一个默认的文件名。也可以不设置该信息,如果不设置该信息,则会将当前网页的文件名作为下载的文件的文件名。
这样,用户在下载文件时并不知道该文件的真实路径,提高了安全性。但是这样做会增加服务器的负荷,所以建议在安全性要求较高的环境下使用