1
5
不允许对文件进行热链接,而是将它们存储在可访问Web的路由之外。相反,让下载请求转到启动下载的PHP脚本。您可以设置检查以确保请求的页面是您想要阅读的页面。 |
2
2
Apache mod_rewrite rewriterule可以做到这一点。
基本上,如果
|
3
1
你可以使用 distributed server side 会话而不是cookie,但这可能比它的价值更麻烦。 你也可以 forbid access 没有引用者或引用错误的请求。但这比饼干更容易伪造。 这取决于你有多在乎。 |
4
1
这里的解决方案取决于您试图解决的问题。如果你只是试着确保一个直接的链接不会被发布在论坛和其他地方,那么只需检查与.htaccess的引用就足够了。当然,裁判很容易被伪造,所以如果有人这样做的风险是一个问题,那么你就需要做其他的事情。 如果你需要更安全一点的东西,饼干应该能做到这一点。我们不能只使用PHP会话,因为文件服务器和Web服务器位于不同的框中。但我们可以基于时间散列和一些秘密值创建一个cookie。
当用户请求实际文件时,文件服务器会再次生成此cookie,并确保它与用户匹配。这意味着,即使用户伪造了cookie,一个小时后它也会失效,所以谁在乎呢,他们不能生成自己的新cookie,因为他们不知道秘密值。 |
5
0
我本来打算推荐.htaccess推荐技巧,但这不是一个非常安全的方法。很容易创建一个PHP脚本,添加了一个自定义的HTTP引用。如果您在那里输入下载页面,它会认为您来自该页面。 这是一个相关的问题吗?你能说说你下载页面的上下文吗? |
6
0
我要用 mod_auth_token 以确保用户具有“最近的链接”。 使用mod auth_令牌,您可以创建过期链接,即,如果有人决定获取现有链接并将其发布到其他网站,则此链接将在指定时间后过期。这将导致403禁止,我可以捕获并将用户重定向到我想要他访问的HTML页面。 |
Adithya · Apache mod_重写以调用不同的URL 2 年前 |
Coolen · 通过htaccess重定向并删除部分链接 2 年前 |
ciromanfredi · Apache任务组执行 2 年前 |
Rabi · php和libapache2 mod php之间的区别 2 年前 |