2

我们正在构建一个使用表单身份验证保护的 Web 应用程序。在某个页面上,我们有一个缩略图列表。这些缩略图是使用 ImageResizer 生成的,如下所示:

<img src="/Data/Pictures/image01.jpg?width=100" />

在使用 Visual Studio 2010 的内置 Web 服务器进行开发期间,这一切都运行良好。当我们将应用程序部署到我们的生产服务器(运行 Windows 2008 和 IIS 7.5)时,我们注意到缩略图不再工作了。当将我们的开发版本切换到 IIS Express 而不是 Cassini 时,我们遇到了同样的问题。

  1. 直接导航到/Data/Pictures/image01.jpg时(登录时),我们可以看到图像。

  2. 直接导航到/Data/Pictures/image01.jpg?width=100(登录时)时,我们会收到以下错误消息:

    “/”应用程序中的服务器错误。

    不提供此类页面。

    说明:您请求的页面类型未提供服务,因为它已被明确禁止。扩展名“.jpg”可能不正确。请查看下面的 URL 并确保其拼写正确。

    请求的网址: /Data/Pictures/image01.jpg

  3. 直接导航到/Data/Pictures/image01.jpg.ashx?width=100时(登录时),我们可以看到调整大小的图像。

该问题的解决方法是从表单身份验证中排除图片目录,如下所示:

<location path="Data/Pictures">
    <system.web>
        <authorization>
            <allow users="*" />
        </authorization>
    </system.web>
</location>

现在缩略图再次可见,但我觉得这个解决方法不太正确。

我已经在 ImageResizer 的网站上提交了一张支持票,并询问为什么没有查询字符串的图像可以工作,而带有查询字符串的图像则不能。ImageResizer 的作者回复并告诉我:

因为 ImageResizer 不处理未处理的图像,所以由 IIS 处理。您需要复制规则以保护静态内容:http ://www.iis.net/ConfigReference/system.webServer/security/authorization

我已阅读该页面,并尝试将我们的身份验证和授权设置复制到<security>内部元素,<system.webServer>但我无法以这种方式解决它。

我们能做些什么来解决这个问题?

更新

我已将应用程序部署到我们的两台生产服务器,它们都有相同的问题。我们在 IIS Express 中的两台开发人员机器上也遇到了问题。我们的生产服务器在配置上不一定相同(我不确定这一点,但我认为必须有一些细微的差异)。所以我猜(实际上,我希望 :-))原因可以在下面的 Web.Config 文件中找到:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
    <configSections>
        <section name="entityFramework" type="System.Data.Entity.Internal.ConfigFile.EntityFrameworkSection, EntityFramework, Version=4.3.1.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" />
        <sectionGroup name="applicationSettings" type="System.Configuration.ApplicationSettingsGroup, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089">
            <section name="MyApp.Properties.Settings" type="System.Configuration.ClientSettingsSection, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089" requirePermission="false" />
        </sectionGroup>
        <section name="resizer" type="ImageResizer.ResizerSection" />
        <section name="dotless" type="dotless.Core.configuration.DotlessConfigurationSectionHandler, dotless.Core" />
    </configSections>
    <connectionStrings>
        <add name="MyAppContext" connectionString="xxx" providerName="System.Data.SqlClient" />        
    </connectionStrings>
    <system.web>
        <pages validateRequest="false" />
        <httpRuntime requestValidationMode="2.0" />
        <globalization requestEncoding="utf-8" responseEncoding="utf-8" culture="nl-BE" uiCulture="nl-BE" />
        <authentication mode="Forms">
            <forms loginUrl="~/Default.aspx" timeout="480" />
        </authentication>
        <authorization>
            <deny users="?" />
        </authorization>
        <compilation debug="true" targetFramework="4.0" />
    </system.web>
    <entityFramework>
        <defaultConnectionFactory type="System.Data.Entity.Infrastructure.SqlConnectionFactory, EntityFramework">
            <parameters>
                <parameter value="Data Source=.\SQLEXPRESS; Integrated Security=True; MultipleActiveResultSets=True" />
            </parameters>
        </defaultConnectionFactory>
    </entityFramework>
    <runtime>
        <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
            <dependentAssembly>
                <assemblyIdentity name="Yahoo.Yui.Compressor" publicKeyToken="f8b4b81ec75097e2" culture="neutral" />
                <bindingRedirect oldVersion="0.0.0.0-1.7.1.0" newVersion="1.7.1.0" />
            </dependentAssembly>
            <dependentAssembly>
                <assemblyIdentity name="AjaxMin" publicKeyToken="21ef50ce11b5d80f" culture="neutral" />
                <bindingRedirect oldVersion="0.0.0.0-4.51.4507.18296" newVersion="4.51.4507.18296" />
            </dependentAssembly>
            <dependentAssembly>
                <assemblyIdentity name="dotless.Core" publicKeyToken="96b446c9e63eae34" culture="neutral" />
                <bindingRedirect oldVersion="0.0.0.0-1.3.0.3" newVersion="1.3.0.3" />
            </dependentAssembly>
        </assemblyBinding>
    </runtime>
    <system.webServer>
        <validation validateIntegratedModeConfiguration="false" />
        <modules>
            <add name="ImageResizingModule" type="ImageResizer.InterceptModule" />
        </modules>
        <handlers>
            <add name="dotless" path="*.less" verb="GET" type="dotless.Core.LessCssHttpHandler,dotless.Core" resourceType="File" preCondition="" />
        </handlers>
    </system.webServer>
    <location path="Assets">
        <system.web>
            <authorization>
                <allow users="*" />
            </authorization>
        </system.web>
    </location>
    <location path="Data/Pictures">
        <system.web>
            <authorization>
                <allow users="*" />
            </authorization>
        </system.web>
    </location>
    <dotless minifyCss="false" cache="true" web="false" />
</configuration>
4

2 回答 2

4

ImageResizer 旨在与 IIS 5、IIS 5.1、IIS 6、IIS 7、IIS 7.5、Cassini 和 IIS Express 的默认安装中的 ASP.NET URL 授权正确集成。

但是,在 IIS7 和 IIS 7.5 上至少有十几种可用的排列。您可以选择性地安装或卸载(以及启用或禁用)IIS 6 Legacy、IIS 7、ASP.NET 2 和 ASP.NET 4 Url Authorization 模块。并且有集成模式或经典模式。在经典模式下,它都是基于扩展的,这意味着它们可以被定制或者可以有通配符映射。然后是 RAMMFAR 属性RunAllManagedModulesForAllRequests。此外,您可以在几个单独的 UrlAuthorizationModule 上设置先决条件,以控制它们执行的扩展。这些变量中的每一个都会影响 4 个 URL 授权引擎中的哪一个控制哪些文件类型,并且这些变量中的一个或多个设置错误

现在,在全新安装时,ImageResizer 可以确保一切都得到正确处理;所有图像都遵循 ASP.NET 规则,遵循 ASP.NET 身份验证和授权规则。但是有很多方法弄乱了 Url Authorization,并且不知道在 IIS 中安装和启用了哪些模块,也没有看到 Web.config 的完整副本,我不知道为什么 ASP.NET UrlAuthorization 没有得到一致地应用。

ImageResizer 的行为极简——除非图像具有查询字符串,并且该查询字符串已识别命令,否则 ImageResizer 不会对其执行任何操作。因此,只有经过处理的图像被“强制”遵循 ASP.NET 网址授权规则。

默认情况下,假设您在集成模式下运行,未触及的请求(没有查询字符串命令)也应该遵循 ASP.NET 规则。但是,的安装或配置有问题。“不提供此类页面。” 是 IIS 的已知 403 消息,但它通常也意味着配置不正确。静态文件不遵循 ASP.NET 规则的事实是配置问题的另一个指标。

验证它是 OS/IIS 配置问题的一种简单方法是启动一个labslice虚拟机(仅花费四分之一),然后将您的软件放在那里。如果您再次看到问题,您就知道它在 Web.config 中。如果不是,则为 IIS/Machine.config 或操作系统级别。

您已经说明了一种解决方案 - 为图像添加 URL 授权例外,因此 ImageResizer 不需要身份验证来显示它们。

于 2012-05-23T23:16:16.070 回答
1

我有类似的问题:Image Resizer 在本地运行良好,但在服务器上运行良好。这是因为该项目使用了经典管道。我的解决方案:添加这个 Web.config

   <resizer>
    <pipeline fakeExtensions=".axd" defaultCommands="autorotate.default=true"/>
    <plugins>
      <add name="DiskCache" />
      <add name="PrettyGifs" />
      <add name="MvcRoutingShim" />
    </plugins>
  </resizer>
..
 <system.webServer>
    <validation validateIntegratedModeConfiguration="false" />
    <modules>
      <!-- This is for IIS7/8 Integrated mode -->
      <add name="ImageResizingModule" type="ImageResizer.InterceptModule"/>
    </modules>
  </system.webServer>

并将其添加到图像链接中:

+ ".axd?height=165&width=297&mode=crop";
于 2016-06-27T12:55:47.573 回答