在Web應用程序進行改造我想拒絕其他用戶的圖像直接訪問圖像,我已經實現它在我的主要.htaccess
文件添加以下代碼:如何拒絕其他用戶上傳的圖片訪問?
RewriteCond %{HTTP_COOKIE} !PHPSESSID=(.+) [OR,NC]
RewriteCond %{HTTP_COOKIE}:%{REQUEST_URI} ^PHPSESSID=(.*?);:(?!.*?/usuarios/\1).* [NC]
RewriteRule ^.*?/usuarios/.+?\.(gif|jpe?g|png|wbmp)$ - [R=403,L]
因此,當用戶有自己的文件夾上傳和轉換圖像,此規則將檢查您是否在尋找與您的id_session
相匹配的圖像,如果不匹配,則會發出403響應。
它似乎工作正常,但如果任何用戶附加圖像並更改scr
與其他用戶的圖像(假設他知道路徑),它正在顯示該圖像。
我該如何預防?
您可以檢查
我寧願在應用程序代碼中看到這個邏輯,而不是web服務器。我的意思是,它的工作原理是因爲會話不需要持久化(一次性使用的站點),但我認爲在實際應用中實現它會更容易,更便於移植。 –
它也被實現了,但它不能避免改變你自己的'img'標籤並訪問圖像。 – Manolo