У меня есть сайт всего с одним файлом: index.htm
у которых есть некоторые ajax, связанные с файлами php. Я хотел бы сделать эти php-файлы доступными только через ajax (post and get) из этого индексного файла и заблокировать доступ ко всем файлам, кроме index.htm
. Возможно ли это в Nginx? Спасибо.
Что-то вроде этого могло бы работать:
location ~ \.php$ {
if ($http_referer !~* index\.htm) {
return 403;
}
fastcgi_pass 127.0.0.1:9000;
include fastcgi.conf;
fastcgi_intercept_errors on;
error_page 404 /error/404.php;
}
Но имейте в виду, что этот заголовок легко подменить, например:
$ telnet localhost 81
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET /pwd.php HTTP/1.0
HTTP/1.1 403 Forbidden
Server: nginx/1.0.5
Date: Thu, 20 Oct 2011 03:06:03 GMT
Content-Type: text/html
Content-Length: 168
Connection: close
$ telnet localhost 81
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET /pwd.php HTTP/1.0
Referer: index.htm
HTTP/1.1 200 OK
Server: nginx/1.0.5
Date: Thu, 20 Oct 2011 03:06:38 GMT
Content-Type: text/html
Connection: close
/var/www/localhost/htdocs
$ curl localhost:81/pwd.php
<html>
<head><title>403 Forbidden</title></head>
<body bgcolor="white">
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.0.5</center>
</body>
</html>
$ curl --referer index.htm localhost:81/pwd.php
/var/www/localhost/htdocs
Две мысли:
В конце концов, кто-то сможет добраться до них напрямую, подделав заголовки, но это только начало.