我想阻止直接鏈接到我提供的在我的網站上下載的.zip文件。 我正在閱讀帖子數小時,但我不確定哪種方法是最好的實現。 PHP似乎不是安全的,htaccess refferer可以是空的等。 你們使用或建議哪種方法?防止直接鏈接到.zip文件
乾杯
我想阻止直接鏈接到我提供的在我的網站上下載的.zip文件。 我正在閱讀帖子數小時,但我不確定哪種方法是最好的實現。 PHP似乎不是安全的,htaccess refferer可以是空的等。 你們使用或建議哪種方法?防止直接鏈接到.zip文件
乾杯
介紹人檢查是一種選擇,但正如你指出他們可以爲空或spoofed。
另一種可能性是當某人訪問您網站上的正常頁面時設置cookie,並檢查該人何時嘗試下載該zip文件。這可以得到解決(例如,熱鏈接器嵌入一個適當的Cookie設置器頁面作爲1x1圖像的大小隨着熱點鏈接),但他們不太可能弄明白。當然,它也會排除阻止Cookie的人。
另一種可能性是在下載頁面上生成有限訪問時間的URL,這些網址沿着http://example.com/download.php?file=file.zip&code=some-random-string-here
的方向行進。該鏈接只能用於少量下載和/或短時間內,之後將不再起作用。
@Michael如果通過php提供zip文件對你來說是一個可行的選擇,Anomie的解決方案肯定更聰明。提供在短時間內過期的鏈接。你甚至可以將IP信息編碼到你的隨機字符串中,但這會很危險,因爲合法的客戶端可以很容易地在會話期間切換到不同的IP。 – magma 2011-04-18 00:26:25
是的,PHP對我來說是可行的。唯一的是我讀了很多XSS的問題。如何安全的download.php看起來像? – Michael 2011-04-18 00:54:56
@magma這是你通過PHP過期的鏈接意味着什麼?鏈接:http://snipplr.com/view/205/download-file/請讓我知道。 – Michael 2011-04-20 02:12:15
請注意,第一個與其他任何推薦人檢查沒有區別。第二部分沒有真正解釋如何防止熱鏈接器將鏈接從重定向頁面中取出。 – Anomie 2011-04-17 23:08:46