如何隱藏PDF.js中的文件路徑

Question

我在我的服務器上運行了PDF.js，但我無法公開我的文件路徑（或理想情況下，將我的文件移動到Web根目錄之外），我正在努力實現它。

例如我可以實現直通PHP，我叫 http://example.com/view?file=yyy.pdf&subdir=zzz

，然後我可以使用PDF.js打開位於發言權文件，http://example.com/obscure/zzz/yyy.pdf （而不是調用http://example.com/viewer?file=http://example.com/obscure/zzz/yyy.pdf）

，或者更好的， webfoot以外的文件： /absolute/path/zzz/yyy.pdf

Answer 1

NB 2013年3月26日 - 道歉，因爲我將不得不收回原始答案。

事實證明，HTTP_REFERER（總是被拼寫錯誤）對安全性來說不可靠，因爲它很容易被欺騙。

我將在下面留下一些原始的想法，因爲它表明不該做什麼，相信這將是安全的，但首先將佈置一個替代方案。

任何基於密鑰的替代方案的基本挑戰是，無論發送來回解鎖網站外文件訪問，都可以通過瀏覽器以各種方式顯示，這是PDF.js實際運行並請求訪問。即使身份驗證機制避開主屏幕，或者使用SSL保護通道，情況也是如此。

我現在想出的最好的方法是一個時間限制鍵，接受這個有一些實際的困難。但是，即使偶爾出現網絡減速，但我們發現，時間窗口可能相當短，因爲關鍵訪問發生在下載文檔的開始處。

SSL將是任何高安全性安排的要求，否則可以監聽網絡連接並在超時時間內重新使用密鑰。啓動PDF.js的身份驗證系統需要與文檔網關協調PDF.js用於回撥和訪問的密鑰。這可以通過CMS數據庫可能實現的服務器內消息來完成。

因此，這看起來像一個可能的設計，如果不是在一個小時內完成的話。如果SSL用於原始用戶登錄以及基於時間的密鑰，則可能認爲它與在線銀行一樣安全，包括現實生活中的人員因素。

這裏是原來的缺陷觀念的意識，以供參考：

似乎有一個簡單的，但現在看到的虛假答案保護的文件，通過使用一個.htaccess條件只允許你的本地供應pdf.js文件的權限，以保存PDF文件的目錄。該目錄需要位於網站內，因爲pdf.js訪問網絡空間而不是文件空間。這裏的條件和響應的形式，你可以調整你的網址和pdf.js位置：

Options -Indexes 
RewriteEngine On 
RewriteCond %{HTTP_REFERER} !^(http|https)://(www.)?yourdomain\.com/yourfolder/s/pdf\.js$ 
RewriteRule .* - [F]