ASP.NET中HTML页面的访问验证设置方法

可能有很多朋友和我一样不会留意到这样的问题，在ASP.NET中，使用其自身提供的访问验证功能（表单验证、Passport 验证、Windows 验证），并不会对静态文件（如 html、图像文件、文本文件等）进行访问限制，即使这些文件置于需要验证后才能访问的文件夹下，匿名用户仍然可以访问到这些文件。这是因为静态文件默认是由 IIS 处理，IIS 在接收到对这些文件的请求后，并不会转交给 ASP.NET 处理，所以，在 ASP.NET 中的权限验证失去了作用。换句话说，这些文件不在ASP.NET 的管辖范围内。

那么，如何将这些文件置于 ASP.NET 的管辖范围内呢？以 html 文件为例，最简单的办法是将 html 文件的后缀改为 aspx，这个办法很简单，也算实用，但并不正规。另一种方法是针对 IIS 进行设置，让 IIS 将 html 文件的处理权转交给 ASP.NET。设置如下：

(1) 打开 IIS，找到需要设置的 ASP.NET 应用程序，打开属性对话框。

(2) 在“虚拟目录”选项卡中有一个“应用程序设置”，点击这里面的“设置”按钮，弹出新的对话框。

(3) 在“对应”选项卡中，点击“新增”按钮，增加 .htm 的后缀与处理程序的对应关系，具体设置可参照 .aspx 的设置。

设置好之后，再次访问位于需要验证的目录下的 html 文件，会转到登录页面提示用户登录，说明访问验证已经生效。但到此仍未完成，因为登录后会发现，htm 文件错误。这涉及到 HttpHandler 的问题，因为对于 ASP.NET 来说，这相当于启用了一种新的文件类型，但却没有相应的处理程序。所以，还需要改动 web.config 的设置，注册一个新的处理程序，对于 html 文件，我们可以使用 aspx 文件的处理程序，所以设置如下：

...

...



...

再次访问，这次是编译错误，因为缺少对 htm 文件的相应编译程序，再修改web.config：

...





...

这回再访问这个 html 文件，它正如我们期望的一样，需要进行身份验证，并且也能够正常显示。其实这个问题的核心在于对 HttpHandler 的理解。另外，据说在 IIS7 中，只要把应用程序放在模式为Integrated 的应用程序池中，就可以解决这个问题。

如果不是特殊要求或者非要使用HTML静态页面时，个人觉得还是把html转换成aspx比较简单。客户部署不需要作过多的配置，有些客户就很烦部署系统要作配置，所以还是简单为好。