1
我有跟随.htaccess内upload目录:拒绝直接访问,但允许普通的HTML
order allow,deny
deny from all
我想允许<img src="upload/image.png" />,但得到forbbiden错误(403)。
我如何拒绝直接访问,但允许html“包含”(普通html)?
A
回答
1
你不能(可靠地)。
无论是直接查看还是作为<img>标签浏览器仍然向http://yoursite.example.com/upload/image.png发出请求,就服务器而言,这两个请求基本上是相同的。
现在大多数浏览器,从<img>标记请求将与Referer: HTTP标头,你可以在你的Apache配置用来过滤这些请求,但伴随着:
- 这不会保护你图像,他们可以添加任何人试图获取图像,例如从命令行:
curl -e 'http://my_referer.example.com' 'http://yoursite.example.com/upload/image.png' - 人们通过网页查看图像后,如果他们键入到他们的地址栏的URL图像很可能从他们的浏览器缓存中提供,并且无论您使用的任何服务器配置如何,它都会出现
1
你需要在mod_rewrite的,
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(gif|jpg|js|css)$ - [F]
一定要与自己更换 “mydomain.com”。
1
你想完成什么?你可以用base64对图像进行编码,并将它们放置在img标签的src属性本身内,使用类似于此处所做的技术:http://www.greywyvern.com/code/php/binary2base64
可能有更高级的方法来遮蔽图像数据,但最终不能不要让那些想要破解的人保持它。
相关问题
- 1. 拒绝直接访问,但允许的fopen
- 2. 拒绝对直接访问文件,但允许在htaccess的
- 3. 拒绝直接访问文件,但允许PHP和HTML从它读取.htaccess
- 4. 直接html页面访问被拒绝
- 5. sandbox-exec:拒绝网络访问,但允许套接字
- 6. 拒绝直接访问pdf文件,但允许当用户登录
- 7. 拒绝直接访问文件夹(只允许通过应用程序)
- 8. .htaccess - 拒绝访问文件夹,但允许通过index.php访问文件
- 9. 詹金斯安全二 - 拒绝匿名访问,但允许通过CLI访问
- 10. 允许访问“所有拒绝”目录
- 11. 拒绝访问的index.php,但允许的index.php?VAR = VAL
- 12. 允许jQuery的访问PHP文件,但拒绝一切
- 13. android.permission.WRITE_EXTERNAL_STORAGE许可但访问被拒绝
- 14. 如何拒绝父文件夹访问子文件夹,但仍然允许直接访问子文件夹?
- 15. 拒绝用户访问.xml,但允许漫游器抓取
- 16. WordPress:拒绝用户访问仪表板但允许AJAX请求?
- 17. 如何拒绝访问文件但允许服务器
- 18. 拒绝访问文件夹,但允许访问该文件夹内的文件
- 19. 拒绝直接访问S3上
- 20. Asp.net拒绝直接访问网页
- 21. 拒绝直接访问php文件
- 22. 如何拒绝直接访问页面
- 23. 拒绝直接URL访问文件
- 24. 拒绝直接访问jsp页面
- 25. 拒绝直接访问配置文件
- 26. 拒绝直接访问PHP文件
- 27. htaccess - 拒绝访问某些网址,但允许其他人访问
- 28. 拒绝访问特定文件,但允许在登录后访问该文件
- 29. 拒绝http访问目录,但允许内部服务器访问
- 30. 拒绝http访问目录,允许从WordPress插件访问
我不希望我的用户直接访问这些文件。通过这种方式,所有来自我的域名的直接访问都将被允许。 –