ASP.NET MVC：是否可以查看请求是否来自哪里？

Question

我不希望用户通过将 url 写入浏览器中的控制器来直接访问图像和媒体。

我正在使用 Autorhizationfilter 来检查用户是否已登录并且应该有权查看图像或媒体，但是有没有办法查看用户是否直接通过浏览器请求控制器或者请求是否嵌入到.cshtml 或 js 文件。

Answer 1

对此没有办法获得安全保护。使用 HttpWebRequest 或类似方法时，Referer 很容易被伪造。如果您只是想保护您的图像不被不使用浏览器以外的其他任何东西的普通用户使用，那么 Referer 就可以发挥作用。

另一种方法是为图像生成一个只能使用一次的 ID。不要编写 ，而是编写 < /code> 其中 sdlkjdsjlksdlk 是您在会话变量中映射到图像的 ID。使用 ImageResult从控制器返回图像并在返回图像后删除 ID。

Answer 2

您也许可以在以下位置检查引荐来源： Request.UrlReferrer
不过，这不太可靠。

Answer 3

您可以通过代码在运行时查看 StackTrace 来完成此操作，但这是一项成本高昂的操作，并且假设两个请求的执行路径有足够的差异来做出决定。