Evitar o acesso a arquivos se um usuário digitar o URL completo na barra de endereço

Navegue suas respostas
1

Eu tenho um site, algumas pastas nos sites contém imagens e arquivos como .pdf, .doc e .docx. o usuário pode simplesmente digitar o endereço na url para obter o arquivo ou exibir a foto

link

então boom .. ele pode ver a imagem ou apenas baixar o arquivo

minha pergunta é: como evitar esse tipo de ação, como posso garantir um acesso seguro dos arquivos.

alguma sugestão

ATUALIZAÇÃO PARA CLARIFICAR MINHA IDÉIA

Eu não quero que nenhum usuário que esteja navegando no site tenha acesso a esses arquivos normalmente apenas escrevendo o URL do arquivo. esses arquivos são arquivos CV, eles estão sendo carregados pelos usuários para uma pasta específica no servidor que hospedamos fora da empresa. esses arquivos só estão sendo visualizados pelo pessoal de RH por meio de um sistema especial. esse é o cenário que queremos. Eu não quero um GEEK WEB que só quer ver quais arquivos foram enviados para esta pasta para baixá-los easly para seu computador e visualizá-los ou publicá-los na internet. Eu espero que você tenha a minha ideia

    
por bogha 25.09.2009 / 20:04

3 respostas

2

Você pode armazenar os arquivos que estão sendo carregados em um diretório fora de seu aplicativo da Web, para que ele não seja diretamente acessível por meio de um URL. Isso garantirá que o servidor da Web não veicule esses arquivos por meio de um URL solicitado.

Quando você precisar veicular esses arquivos, verifique se o usuário que solicitou o arquivo tem acesso a ele. Em outras palavras, verifique se o usuário está autorizado a visualizar os arquivos - você pode autorizar o usuário original que fez o upload do arquivo e os usuários de RH a acessar o arquivo.

Como o servidor da web não tem acesso direto aos arquivos, impedindo que eles sejam exibidos, você terá que escrever um script do lado do servidor em um idioma de sua escolha (PHP / ASP / JSP etc., desde que você não o fez) t indica qualquer um) que, após as verificações de autorização, recuperará o arquivo e entregará seu conteúdo ao usuário.

    
por 25.09.2009 / 21:10
3

Para aumentar a segurança de seus arquivos, você pode colocá-los em um diretório fora da webroot e, em seguida, transmiti-los para suas páginas da Web por meio de um script. Além disso, o script que os transmite deve estar em uma página controlada por acesso. Você pode usar o .htaccess, mas eu prefiro um sistema de login mais flexível.

    
por 25.09.2009 / 20:25
2

Você pode verificar o cabeçalho Referenciador do HTTP para verificar se o link veio do seu site. Observe que o referenciador pode ser falsificado, mas se você está apenas procurando uma maneira simples de capturar a maioria das pessoas, isso funciona.

    
por 25.09.2009 / 20:09

Tags

Nginx e php são executados por diferentes usuários. Isto é uma má ideia? Como eu pego um nome de usuário e uma senha do Active Directory e os armazeno via LDAP?