У меня есть веб-сайт, некоторые папки на веб-сайтах содержат изображения и файлы, такие как .pdf, .doc и .docx. пользователь может просто ввести адрес в URL-адресе, чтобы получить файл или отобразить фотографию
http: //site/folder1/img/pic1.jpg
затем бум .. он может увидеть изображение или просто скачать файл
мой вопрос: как предотвратить подобные действия, как я могу гарантировать безопасный доступ к файлам.
какие-либо предложения
ОБНОВЛЕНИЕ ДЛЯ УТОЧНЕНИЯ МОЕЙ ИДЕИ
Я не хочу, чтобы какой-либо пользователь, просматривающий веб-сайт, обычно получал доступ к этим файлам, просто записывая URL-адрес файла. эти файлы являются файлами резюме, они загружаются пользователями в определенную папку на сервере, который мы размещаем за пределами компании. эти файлы просматривают только сотрудники отдела кадров через специальную систему. это тот сценарий, который мы хотим. Мне не нужен WEB GEEK, который просто хочет видеть, какие файлы были загружены в эту папку, чтобы легко загрузить их на свой компьютер и просмотреть или опубликовать их в Интернете. я надеюсь ты уловил мою идею
Чтобы повысить безопасность ваших файлов, вы можете поместить их в каталог вне корневой каталог, а затем транслируйте их на свои веб-страницы с помощью скрипта. Кроме того, скрипт, который их передает, должен находиться на странице с контролируемым доступом. Вы можете использовать .htaccess, но я предпочитаю более гибкую систему входа.
Вы можете сохранить загружаемые файлы в каталог за пределами вашего веб-приложения, чтобы он не был доступен напрямую через URL-адрес; это гарантирует, что веб-сервер не будет обслуживать эти файлы через запрошенный URL.
Когда вам нужно обслуживать эти файлы, убедитесь, что у пользователя, который запросил файл, есть к нему доступ. Другими словами, проверьте, авторизован ли пользователь для просмотра файлов - вы можете разрешить исходному пользователю, который загрузил файл, и пользователям HR иметь доступ к файлу.
Поскольку веб-сервер не имеет прямого доступа к файлам, что не позволяет им обслуживать их, вам придется написать сценарий на стороне сервера на языке по вашему выбору (PHP / ASP / JSP и т. Д., Поскольку вы не указали никаких ), который после проверки авторизации извлечет файл и предоставит его содержимое пользователю.
Вы можете проверить HTTP Реферер заголовок как способ проверить, что ссылка пришла с вашего сайта. Обратите внимание, что реферер может быть подделан, но если вы просто ищете простой способ поймать большинство людей, это действительно сработает.
