Защищен ли Apache RewriteCond HTTP_Referer от подделки ссылок?

Question

Is RewriteCond HTTP_Referer в Apache безопасно блокировать прямой доступ к скриптам или данным, включенным в приватную (защищенную паролем, а не через Apache's mod_auth) HTML-страницу?

Или может кто-то использовать спуфинг-референт, чтобы получить доступ к скриптам и данным?

Пример:

RewriteEngine on 
RewriteCond %{HTTP_REFERER} !^$ 
RewriteCond %{HTTP_REFERER} !^https?.(www\.)?mydomain.com/.*$ [NC] 
RewriteRule \.(txt|js|pdf)$ 

Answer 1

Ваши условия перезаписи проверить наличие заголовка HTTP-клиента (Referer). Таким образом, пользователь/злоумышленник может свободно отправлять вам любую ценность, которую она хочет, ака. она может подделать заголовок.

Следовательно, это не безопасно в отношении аутентифицированных сеансов (вы упомянули области, защищенные паролем)!

Это полезно только для других сайтов, содержащих ссылки на ваши ресурсы и, следовательно, «кражи» вашего трафика. Но даже в этом сценарии вы должны учитывать недостатки, такие как разбивка вашего сайта для людей, которые обманывают/удаляют рефереров, например. из-за проблем конфиденциальности.

Последний вопрос

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.

 Смежные вопросы

• 1.
• 2.
• 3.
• 4.
• 5.
• 6.
• 7.
• 8.
• 9.
• 10.