這篇講解asp.net core中的靜態文件(大致翻譯於官網)。
靜態文件,例如HTML,CSS, images和JavaScript. 要想直接被客戶端訪問,需要做一些配置。
一.Serve static files(提供靜態文件服務)
靜態文件存儲在項目的web root 目錄下。默認的目錄是<content_root>/wwwroot,但可以通過UseWebRoot方法來改變默認目錄。
更多可以查看: See Content root and Web root for more information.
應用的web host 必須知道內容根目錄。
WebHost.CreateDefaultBuilder方法設置內容根目錄到當前目錄中:
public class Program { public static void Main(string[] args) { CreateWebHostBuilder(args).Build().Run(); } public static IWebHostBuilder CreateWebHostBuilder(string[] args) => WebHost.CreateDefaultBuilder(args) .UseStartup<Startup>(); }
靜態文件可以通過一個相對web root的路徑來訪問。
例如,web application 項目模板在wwwroot文件夾下包含幾個文件夾:
- wwwroot
-
- css
- images
- js
到images子目錄中的文件的URI格式為:http://<server_address>/images/<image_file_name> 。 例如,
http://localhost:9189/images/banner3.svg.
如果是.NET Framework, 添加 Microsoft.AspNetCore.StaticFiles包到項目中。如果是.NET Core, Microsoft.AspNetCore.App包含這個包。
配置中間件來允許提供靜態文件的服務。
1.Serve files inside of web root(在web root中提供files服務)
在Startup.Configure中調用UseStaticFiles方法:
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(); }
這個無參的UseStaticFiles方法標志着web root中的文件可以提供服務。下面的標簽引用 wwwroot/images/banner1.svg:
<img src="~/images/banner1.svg" alt="ASP.NET" class="img-responsive" />
在上面的代碼中,~/ 指向webroot,更多信息:Web root.
像上面的代碼,要使用web root下的文件,需要直接指向到web root下的具體的文件。
2.Serve files outside of web root(在web root外提供文件服務)
考慮下面的目錄層級,將在web root外面的MyStaticFiles提供文件服務。
通過配置靜態文件中間件(the Static File Middleware),使請求可以取得banner1.svg文件:
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(); // For the wwwroot folder app.UseStaticFiles(new StaticFileOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "MyStaticFiles")), RequestPath = "/StaticFiles" }); }
在上面的代碼中,MyStaticFiles目錄通過StaticFiles 的URI被暴露。
一個 到http://<server_address>/StaticFiles/images/banner1.svg 的請求,可以得到banner1.svg文件。
下面的標記引用MyStaticFiles/images/banner1.svg文件:
<img src="~/StaticFiles/images/banner1.svg" alt="ASP.NET" class="img-responsive" />
3.Set HTTP response headers(設置HTTP響應頭)
StaticFileOptions 對象可以被用來設置HTTP response headers(HTTP 響應頭)。
另外配置靜態文件服務於web root, 下面的代碼設置了Cache-Control 頭:
public void Configure(IApplicationBuilder app, IHostingEnvironment env) { var cachePeriod = env.IsDevelopment() ? "600" : "604800"; app.UseStaticFiles(new StaticFileOptions { OnPrepareResponse = ctx => { // Requires the following import: // using Microsoft.AspNetCore.Http; ctx.Context.Response.Headers.Append("Cache-Control", $"public, max-age={cachePeriod}"); } }); }
HeaderDictionaryExtensions.Append方法存在於Microsoft.AspNetCore.Http包中。
這個文件在開發環境可以緩存10分鍾(600秒)。
二.Static file authorization(靜態文件授權)
靜態文件中間件不會提供授權檢查。任何被它提供的文件服務,包括在wwwroot下的,都是公開可以訪問的。
要基於授權提供文件服務:
- 把它們存儲在wwwroot外面 和 對於靜態文件中間件可以到達的任意目錄
- 通過認證的action方法提供它們。返回一個FileResult對象:
[Authorize] public IActionResult BannerImage() { var file = Path.Combine(Directory.GetCurrentDirectory(), "MyStaticFiles", "images", "banner1.svg"); return PhysicalFile(file, "image/svg+xml"); }
三.Enable directory browsing(允許目錄瀏覽)
目錄瀏覽允許你的web應用上的用戶看見一個目錄列表,和指定目錄里的文件。
目錄瀏覽因為安全原因默認是被禁用的。可以在Startup.Configure方法中調用UseDirectoryBrowser方法來允許目錄瀏覽:
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(); // For the wwwroot folder app.UseStaticFiles(new StaticFileOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages" }); app.UseDirectoryBrowser(new DirectoryBrowserOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages" }); }
通過在Startup.ConfigureServices中調用AddDirectoryBrowser方法來添加必要的服務:
public void ConfigureServices(IServiceCollection services) { services.AddDirectoryBrowser(); }
上面的代碼允許 wwwroot/images目錄下的目錄瀏覽,通過 http://<server_address>/MyImages
使用這個鏈接來到達每個文件和目錄:
允許目錄瀏覽的一些安全風險,可以看 Considerations
注意下面示例中的兩個UseStaticFiles的調用。
第一個調用允許wwwroot文件夾提供靜態文件。
第二個調用允許wwwroot/images文件夾使用目錄瀏覽,通過http://<server_address>/MyImages :
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(); // For the wwwroot folder app.UseStaticFiles(new StaticFileOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages" }); app.UseDirectoryBrowser(new DirectoryBrowserOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages" }); }
四.Serve a default document(提供一個默認文檔)
當訪問你的網站時,設置一個默認的home page頁面提供給瀏覽者一個合乎邏輯的起始頁(默認頁)(starting point)。
要提供一個默認的不需要用戶詳細修飾的URI的頁面,需要在Startup.Configure中調用UseDefaultFiles方法:
public void Configure(IApplicationBuilder app) { app.UseDefaultFiles(); app.UseStaticFiles(); }
重點:UseDefaultFiles 必須在UseStaticFiles之前被調用來提供默認文件。UseDefaultFiles是一個URL重寫器,它不會真正提供文件服務。允許Static File Middleware通過UseStaticFiles來提供服務。
使用UseDefaultFiles,請求一個文件夾搜索:
- default.htm
- default.html
- index.htm
- index.html
列表中第一個被找到的文件會提供服務,好像請求是被詳細修飾一樣。
下面的代碼改變默認文件名為mydefault.html:
public void Configure(IApplicationBuilder app) { // Serve my app-specific default file, if present. DefaultFilesOptions options = new DefaultFilesOptions(); options.DefaultFileNames.Clear(); options.DefaultFileNames.Add("mydefault.html"); app.UseDefaultFiles(options); app.UseStaticFiles(); }
五.UseFileServer(使用文件服務器)
UseFileServer結合了UseStaticFiles,UseDefaultFiles,和UseDirectoryBrowser的功能。
下面的代碼允許提供靜態文件服務和默認文件。目錄瀏覽沒被允許。
app.UseFileServer();
下面的代碼是建立在無參重載上的,允許目錄瀏覽:
app.UseFileServer(enableDirectoryBrowsing: true);
考慮下面的目錄層級:
下面的代碼允許MyStaticFiles中的靜態文件,默認文件和目錄瀏覽:
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(); // For the wwwroot folder app.UseFileServer(new FileServerOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "MyStaticFiles")), RequestPath = "/StaticFiles", EnableDirectoryBrowsing = true }); }
當EnableDirectoryBrowsing屬性值是true時,AddDirectoryBrowser必須被調用:
public void ConfigureServices(IServiceCollection services) { services.AddDirectoryBrowser(); }
使用文件層級和之前的代碼,URLs解析如下:
如果在MyStaticFiles目錄中,沒有默認名稱的文件存在,http://<server_address>/StaticFiles
返回目錄列表中被點擊的鏈接:
六.FileExtensionContentTypeProvider
FileExtensionContentTypeProvider類包含一個映射屬性,這個映射屬性提供一個file extensions 到MIME content types 的映射。下面的代碼中,幾個文件擴展(file extensions)被注冊為已知的MIME types。 .rtf extension被替換了,並且 .mp4 被移除了。
public void Configure(IApplicationBuilder app) { // Set up custom content types - associating file extension to MIME type var provider = new FileExtensionContentTypeProvider(); // Add new mappings provider.Mappings[".myapp"] = "application/x-msdownload"; provider.Mappings[".htm3"] = "text/html"; provider.Mappings[".image"] = "image/png"; // Replace an existing mapping provider.Mappings[".rtf"] = "application/x-msdownload"; // Remove MP4 videos. provider.Mappings.Remove(".mp4"); app.UseStaticFiles(new StaticFileOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages", ContentTypeProvider = provider }); app.UseDirectoryBrowser(new DirectoryBrowserOptions { FileProvider = new PhysicalFileProvider( Path.Combine(Directory.GetCurrentDirectory(), "wwwroot", "images")), RequestPath = "/MyImages" }); }
七.Non-standard content types(非標准類型)
Static File Middleware 理解幾乎400個已知的文件類型(file content types).
如果用戶請求一個未知的文件類型,Static File Middleware 會傳遞這個請求到管道上的下一個中間件。
如果沒有中間件可以處理這個請求,一個404 Not Found 響應會被返回。
如果目錄瀏覽被允許,在目錄列表中,一個到這個文件的鏈接會被展示。
下面的代碼允許提供未知的類型,並且渲染未知的文件為一個圖片:
public void Configure(IApplicationBuilder app) { app.UseStaticFiles(new StaticFileOptions { ServeUnknownFileTypes = true, DefaultContentType = "image/png" }); }
使用上面的代碼,一個對未知文件類型的請求會作為一個圖片返回。
警告:允許ServeUnknownFileTypes是有安全風險的。它默認是被禁用的,並且這種用法不推薦使用。FileExtensionContentTypeProvider提供一個更安全的可選的方式來提供帶有non-standard extensions擴展的文件。
Considerations(考慮)
- 使用UseDirectoryBrowser和UseStaticFiles來暴露內容的URLs是適合於大小寫敏感並且在文件系統下有字符限制。例如,Windows是大小寫敏感的,macOS和Linux不是。
- ASP.NET Core 應用部署在IIS上,使用ASP.NET Core Module 來發送所有的請求到應用,包括靜態文件請求。IIS靜態文件處理器(IIS static file handler)沒有使用。它沒有機會處理請求在它們被這個模塊處理之前。
- 在IIS Manager中移除IIS static file handler的步驟,在服務器或者網站層次:
-
- 導航到Modules功能
- 選擇列表中的StaticFileModule
- 點擊刪除
警告:如果IIS文件處理器被允許並且ASP.NET Core Module沒有被正確配置,靜態文件會提供服務。這會發生,例如,如果web.config文件沒有被部署。
- 存放代碼文件(包括.cs和.cshtml)在項目的web root的外面。應用的客戶端內容和服務端代碼在邏輯上應該被分開建立,(app’s client-side content and server-based code).這可以預防服務端代碼被泄露。
地址:https://docs.microsoft.com/en-us/aspnet/core/fundamentals/static-files?view=aspnetcore-2.2