您可能沒意識到�����,但對于可以使用該技術(shù)上載的文件的大小存在限制。默認(rèn)情況下����,使用 FileUpload 控件上載到服務(wù)器的文件最大為 4MB 左右。不能上載超過該限制的任何內(nèi)容�。
然而,關(guān)于 .NET 的重要一點是�,它通常會提供一種規(guī)避限制的方法。您通?�?梢愿恼谑褂玫哪J(rèn)設(shè)置���。要更改大小限制���,可以在 web.config.comments 文件(可以在 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG 的 ASP.NET 2.0 配置文件夾中找到)或應(yīng)用程序的 web.config 文件中進(jìn)行一些改動。
在 web.config.comments 文件中�,查找一個名為 <executionTimeout>的節(jié)點,如下所示:
<httpRuntime
executionTimeout="110"
maxRequestLength="4096"
requestLengthDiskThreshold="80"
useFullyQualifiedRedirectUrl="false"
minFreeThreads="8"
minLocalRequestFreeThreads="4"
appRequestQueueLimit="5000"
enableKernelOutputCache="true"
enableVersionHeader="true"
requireRootedSaveASPath="true"
enable="true"
shutdownTimeout="90"
delayNotificationTimeout="5"
waitChangeNotification="0"
maxWaitChangeNotification="0"
enableHeaderChecking="true"
sendCacheControlHeader="true"
apartmentThreading="false" />
在這個節(jié)點上進(jìn)行了許多操作�����,但負(fù)責(zé)上載文件大小的設(shè)置是 maxRequestLength 屬性����。默認(rèn)情況下����,該屬性設(shè)置為 4096 千字節(jié) (KB)���。只需更改此值,就可以增加可上載到服務(wù)器的文件大小����。如果想要允許將 10 兆字節(jié) (MB) 的文件上載到服務(wù)器,則將 maxRequestLength 值設(shè)置為 11264�����,這意味著該應(yīng)用程序允許將最大為 11000 KB 的文件上載到服務(wù)器�。
在 web.config.comments 文件中進(jìn)行此改動會將該設(shè)置應(yīng)用于服務(wù)器上的所有應(yīng)用程序。如果要將該設(shè)置僅應(yīng)用于正在使用的應(yīng)用程序����,則將該節(jié)點應(yīng)用于應(yīng)用程序的 web.config 文件,覆蓋 web.config.comments 文件中的所有設(shè)置���。請確保該節(jié)點位于配置文件中的 <system.web> 節(jié)點之間�。
與上載文件大小限制有關(guān)的另一個設(shè)置是賦給 <httpRuntime> 節(jié)點中 executionTimeout 屬性的值。
賦給 executionTimeout 屬性的值是 ASP.NET 關(guān)閉前允許發(fā)生的上載秒數(shù)�。如果要允許將更大的文件上載到服務(wù)器,則還要增加該值和 maxRequestLength 值���。
增加可上載文件大小的一個缺點是�����,存在通過發(fā)出大量請求來攻擊服務(wù)器的黑客����。要避免這種情況�,可以減小允許上載的文件大小����;否則,可能會發(fā)現(xiàn)數(shù)百個甚至上千個 10 MB 的請求訪問您的服務(wù)器��。
客戶端驗證允許上載的文件類型
有幾種方法可以用來控制上載到服務(wù)器的文件類型�����。遺憾的是,沒有一種十全十美的方法可以防御其他人上載惡意的文件��。然而���,您可以采取一些步驟�����,以使這個允許最終用戶上載文件的過程更易于管理�����。
一個可用的好方法是使用 ASP.NET 免費提供的 ASP.NET 驗證控件。這些控件使您可以對正在上載的文件進(jìn)行正則表達(dá)式檢查���,看看文件的擴展名是否在允許上載的擴展名之列�����。
因為該方法強制在客戶端進(jìn)行檢查����,所以對于允許在客戶端使用驗證控件的瀏覽器而言���,這是一個理想的選擇��;如果簽名不是您允許的簽名���,則該文件不能上載到服務(wù)器�。清單 3 顯示一個使用驗證控件完成該任務(wù)的示例����。
注 此處不介紹驗證控件的用法。有關(guān)驗證控件的完整解釋以及如何在 ASP.NET 頁中使用它們���,請參閱 Validating ASP.NET Server Controls����。
清單 3. 使用驗證控件限制上載到服務(wù)器的文件類型
<ASP:FileUpload ID="FileUpload1" runat="server" /><br />
<br />
<ASP:Button ID="Button1" runat="server" OnClick="Button1_Click"
Text="Upload File" /> <br />
<br />
<ASP:Label ID="Label1" runat="server"></ASP:Label>
<ASP:RegularExpressionValidator
id="RegularExpressionValidator1" runat="server"
ErrorMessage="Only mp3, m3u or mpeg files are allowed!"
ValidationExpression="^(([a-zA-Z]:)|(\\{2}\w+)\$?)(\\(\w[\w].*))
+(.mp3|.MP3|.mpeg|.MPEG|.m3u|.M3U)$"
ControlToValidate="FileUpload1"></ASP:RegularExpressionValidator>
<br />
<ASP:RequiredFieldValidator
id="RequiredFieldValidator1" runat="server"
ErrorMessage="This is a required field!"
ControlToValidate="FileUpload1"></ASP:RequiredFieldValidator>
這個簡單的 ASP.NET 頁使用驗證控件���,這樣最終用戶就只能將 .mp3��、.mpeg 或 .m3u 文件上載到服務(wù)器�。如果文件類型不是以上可選的文件類型���,則 Validation 控件向屏幕拋出一個異常���。
