【问题标题】:prevent php files htacces防止php文件htaccess
【发布时间】:2012-06-13 11:19:07
【问题描述】:

如何防止使用 htacces 访问文件夹中的所有 php 文件,但是当我希望通过 iframe 进行访问时可以正常工作?

我不希望用户通过 url 访问,因为这将是一个安全漏洞..

有答案吗?

【问题讨论】:

  • 请解释一下“通过URL访问”和“通过iframe访问”的区别。您不将 iframe 的源设置为相同的 URL 吗?如果直接访问您的脚本存在安全威胁,请确保您的脚本安全。
  • 部分重复:stackoverflow.com/questions/6662542/… - PHP 和 Mod-Rewrite 都无法确定某个东西是否是 iframe。他们处理请求并将其发送回去。此外,通过 iframe 将同样不安全。

标签: php .htaccess iframe security


【解决方案1】:

通过 iframe 访问页面与通过 url 访问页面相同。如果您以这种方式使页面无法访问,那么 iframe 也将无法加载它。

【讨论】:

  • 感谢@D-Rock,但我不希望用户通过 url 访问,但我希望在 iframe 中它可以工作..
【解决方案2】:

这是不可能的。你不能拥有你想要的。您可以将 iframe 视为浏览器中的浏览器。 iframe 向您的服务器发出独立的新 GET 请求以获取内容的 URL,但没有任何迹象表明它正在 iframe 中使用。

但是,一旦页面交付给客户端,您可以让页面运行一些 javascript 来检查它是否是 iframe,如果不是,则删除它自己的内容。

if (top === self) {
  // not in an iframe. delete all the content
  document.body.innerHTML = 'Not allowed';
}

您可以将其反转以提供不可见的内容,但如果 top != self 则让 javascript 使内容可见

当然,这只会影响内容对用户的可见性。它仍在交付中,高级用户仍然可以与之交互。这只是一点视觉技巧 - 安全性为零。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-09-20
    • 1970-01-01
    • 2014-02-04
    • 2023-03-08
    • 1970-01-01
    • 2018-05-02
    • 2013-06-25
    • 2023-03-28
    相关资源
    最近更新 更多