我有一个网站,允许以经过身份验证的用户访问各种形式的内容(PDF,MP3,MP4等)。该网站由LAMP的第三方开发人员为我开发。用户使用存储在MySQL DB中的用户名/密码对应用程序进行身份验证。它们不会使用Apache,MySQL或任何其他机制进行身份验证。
最近,该网站的渗透测试发现了一些明显的漏洞。让我摸不着头脑的是要求下载javascript文件的身份验证。显然,浏览器需要访问此JS内容才能运行应用程序,这意味着至少公开显示一些文件。
我的问题是:有没有办法阻止未登录应用程序的用户访问某些文件?
我见过针对内容文件建议的.htaccess版本的解决方案。
e.g。
Options +FollowSymLinks
RewriteEngine on
RewriteRule ^(.*)$ ../authorize.php?file=$1 [NC]
如果我将JS代码拆分为公共/私有文件夹,有没有办法以这种方式提供java脚本而不是仅仅包含它?这适用于javascript吗?
由于
答案 0 :(得分:0)
听起来你只需要一个单独的路径进行身份验证......一个登录路径。此路径仅允许下载公共资产。成功的身份验证会将用户重定向到您的安全路径。注销操作会将用户重定向到登录路径。
答案 1 :(得分:0)
如果我将JS代码拆分为公共/私有文件夹,有没有办法以这种方式提供java脚本而不是仅仅包含它?这适用于javascript吗?
在authorize.php,psuedocode中,检查登录状态和文件是否存在,为登录用户返回私有公共
if $_SESSION['logged in'] && exists '/private/' . $_GET['file']
print '/private/' . $_GET['file']
else if exists '/public/' . $_GET['file']
print '/private/' . $_GET['file']
else
die
然后将其与您的示例.htaccess结合使用,并将文件包含在正常.js文件中,让Apache将这些链接转换为正确的php行,以便您的php脚本执行逻辑对你而言。