可能有很多朋友和我一樣不會留意到這樣的問題，在ASP.NET中，使用其自身提供的訪問驗證功能（表單驗證、Passport 驗證、Windows 驗證），并不會對靜態(tài)文件（如 html、圖像文件、文本文件等）進(jìn)行訪問限制，即使這些文件置于需要驗證后才能訪問的文件夾下，匿名用戶仍然可以訪問到這些文件。這是因為靜態(tài)文件默認(rèn)是由 IIS 處理，IIS 在接收到對這些文件的請求后，并不會轉(zhuǎn)交給 ASP.NET 處理，所以，在 ASP.NET 中的權(quán)限驗證失去了作用。換句話說，這些文件不在ASP.NET 的管轄范圍內(nèi)。

那么，如何將這些文件置于 ASP.NET 的管轄范圍內(nèi)呢？以 html 文件為例，最簡單的辦法是將 html 文件的后綴改為 aspx，這個辦法很簡單，也算實(shí)用，但并不正規(guī)。另一種方法是針對 IIS 進(jìn)行設(shè)置，讓 IIS 將 html 文件的處理權(quán)轉(zhuǎn)交給 ASP.NET。設(shè)置如下：

(1) 打開 IIS，找到需要設(shè)置的 ASP.NET 應(yīng)用程序，打開屬性對話框。

(2) 在“虛擬目錄”選項卡中有一個“應(yīng)用程序設(shè)置”，點(diǎn)擊這里面的“設(shè)置”按鈕，彈出新的對話框。

(3) 在“對應(yīng)”選項卡中，點(diǎn)擊“新增”按鈕，增加 .htm 的后綴與處理程序的對應(yīng)關(guān)系，具體設(shè)置可參照 .aspx 的設(shè)置。

設(shè)置好之后，再次訪問位于需要驗證的目錄下的 html 文件，會轉(zhuǎn)到登錄頁面提示用戶登錄，說明訪問驗證已經(jīng)生效。但到此仍未完成，因為登錄后會發(fā)現(xiàn)，htm 文件錯誤。這涉及到 HttpHandler 的問題，因為對于 ASP.NET 來說，這相當(dāng)于啟用了一種新的文件類型，但卻沒有相應(yīng)的處理程序。所以，還需要改動 web.config 的設(shè)置，注冊一個新的處理程序，對于 html 文件，我們可以使用 aspx 文件的處理程序，所以設(shè)置如下：

system.web>
...
httpHandlers>
...
!-- 增加后綴為 htm 文件的處理程序，這里使用 aspx 文件的處理程序 -->
add verb="*" path="*.htm" type="System.Web.UI.PageHandlerFactory"/>
/httpHandlers>
...
/system.web>

再次訪問，這次是編譯錯誤，因為缺少對 htm 文件的相應(yīng)編譯程序，再修改web.config：

system.web>
compilation>
...
!-- 設(shè)置后綴為 htm 的文件的編譯程序，這里使用 aspx 文件的編譯程序 -->
buildPRoviders>
add extension=".htm" type="System.Web.Compilation.PageBuildProvider"/>
/buildProviders>
/compilation>
...
/system.web>

這回再訪問這個 html 文件，它正如我們期望的一樣，需要進(jìn)行身份驗證，并且也能夠正常顯示。其實(shí)這個問題的核心在于對 HttpHandler 的理解。另外，據(jù)說在 IIS7 中，只要把應(yīng)用程序放在模式為Integrated 的應(yīng)用程序池中，就可以解決這個問題。

如果不是特殊要求或者非要使用HTML靜態(tài)頁面時，個人覺得還是把html轉(zhuǎn)換成aspx比較簡單。客戶部署不需要作過多的配置，有些客戶就很煩部署系統(tǒng)要作配置，所以還是簡單為好。