Apache中的RewriteCond HTTP_Referer是否可以安全地阻止直接访问私有(受密码保护,而不是通过Apache的mod_auth)HTML页面中包含的脚本或数据?
或者有人可以使用Referer Spoofing来访问脚本和数据吗?
示例:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?.(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(txt|js|pdf)$
答案 0 :(得分:1)
您的重写条件检查HTTP客户端标头(Referer)。
因此,用户/攻击者可以完全自由地向您发送她想要的任何价值,即。她可以欺骗标题。
因此,对于经过身份验证的会话(您提到密码保护区域)并不安全!
它仅对其他网站有用,可以将您的资源链接起来,因此“偷窃”#34;你的流量。但即使在这种情况下,您也应该考虑下行方面,例如欺骗/删除引荐来源的人的网站中断,例如由于隐私问题。