C# ASP.NET MVC 禁用绝对图像路径导航

静态内容的分发可以通过控制器实现，将所有必要的访问权限检查转移给它（通过控制器/方法的属性或在函数体本身中）。

[HttpGet]
[Route("GlobalFiles/PeoplePhoto/{photoId:int}")]
public ActionResult PeoplePhoto(int photoId)
{
    // Реализовать проверку прав доступа (в коде метода или через атрибуты)
    // Реализовать проверку на наличие файла отображения 
    byte[] imgBytes = System.IO.File.ReadAllBytes(Server.MapPath($"~/GlobalFiles/PeoplePhoto/{photoId}.jpg"));
    return File(imgBytes, "image/jpeg");
    //Если файла не существует —> return HttpNotFoundResult();
}

为了阻止通过图像链接直接访问，请将 web.config 文件放在 GlobalFiles 目录中：

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <system.webServer>
    <security>
      <requestFiltering>
        <hiddenSegments applyToWebDAV="true">
          <add segment="PeoplePhoto" />
        </hiddenSegments>
      </requestFiltering>
    </security>
  </system.webServer>
</configuration>

禁止访问图像的另一种选择可以是更改保存文件的逻辑：例如，保存文件时不明确指定其扩展名，和/或保存文件的名称，例如 GUID（保存 id <- > 数据库中的 Guid 映射）。

简单地删除默认扩展名（在您的情况下为 .jpg）可能是最简单的选择，因为默认情况下会解析 jpg 文件，System.Web.StaticFileHandler'ом并且可以直接从链接获得而无需任何过滤。删除扩展名（或将其更改为不受 StaticFileHandler 处理的扩展名 - 例如“.hidden”）后，如果不修改 web.config，将无法通过直接链接访问文件。

图片的链接将如下所示：

<img src="/GlobalFiles/PeoplePhoto/14" />