- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
因此,在整个社区中寻找解决方案之后,我的问题如下:
我在Wordpress环境中的Apache服务器上工作。我在上传中有一个名为/restricted/
的文件夹。仅在以下情况下才能访问此处的所有内容(任何文件扩展名):
设置了一个名为“ custom_cookie”的cookie
并且此cookie值必须是URL请求的部分匹配
如果这些条件失败,则将提供图像。在此/restricted/
文件夹中,我有一个.htaccess
文件。一切都必须(最好)在该htaccess文件中完成,而不是在根htaccess文件中完成。
cookie由functions.php设置,没有问题
部分。关于安全性的评论不是这里的问题
这是一个URL示例(localhost):http://localhost/komfortkonsult/wp-content/uploads/restricted/some-file.jpg?r=870603c9d23f2b7ea7882e89923582d7
第一个条件设置了一个名为custom_cookie的cookie,一切都与此一起工作:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /komfortkonsult/
RewriteCond %{REQUEST_URI} ^.*uploads/restricted/.*
RewriteCond %{HTTP_COOKIE} !custom_cookie
RewriteRule . /komfortkonsult/restricted.png [R,L]
</IfModule>
RewriteCond %{HTTP_COOKIE} custom_cookie=(.*)$
RewriteCond %1::%{REQUEST_URI} ^(.*?)::/\1/?
RewriteRule . /komfortkonsult/restricted.png [R,L]
RewriteCond %{QUERY_STRING} ^r=(.*)$
RewriteRule ^/ - [E=COOKIE_MATCH:%1]
RewriteCond %{HTTP_COOKIE} !custom_cookie="%{ENV:COOKIE_MATCH}"
RewriteRule . /komfortkonsult/restricted.png [R,L]
RewriteCond %{HTTP_COOKIE} custom_cookie=([^;]+) [NC]
RewriteCond %{REQUEST_URI} !%1 [NC]
RewriteRule . /komfortkonsult/restricted.png [R,L]
.htaccess
内,而不是通过
.php
文件调用使用验证。但是,如果这是我的体系结构的唯一解决方案,请提供完整的工作示例(而不是foo = bar,您的重定向将在此处...)
/restricted/
的唯一文件夹的文件。该文件夹位于Wordpress原始
/uploads/
根目录中。该受限材料不允许被搜索引擎等直接链接或访问。不允许浏览器缓存,并且注销后必须立即进行限制。还有更多...但是我想你明白了。
'custom_cookie'
只是一个提供的示例。显示Wordpress安装的示例位于localhost的子文件夹中。像
h**p://example.com/workspace/
。如果在根目录中,请除去
'workspace/'
。
function intervik_theme_set_custom_cookie(){
if(is_user_logged_in()){
global $current_user;
if(current_user_can('edit_posts')){
if(!isset($_COOKIE['custom_cookie'])){
$cookie_value = $current_user->ID . '|' . $current_user->user_login . '|' . $current_user->roles;
$salt = wp_salt('auth');
$cookie_hash = hash_hmac('md5', $cookie_value, $salt);
setcookie('custom_cookie', $cookie_hash, time()+36, '/');
$_COOKIE['custom_cookie'] = $cookie_hash;
} else {
$cookie_value = $current_user->ID . '|' . $current_user->user_login . '|' . $current_user->roles;
$salt = wp_salt('auth');
$cookie_hash = hash_hmac('md5', $cookie_value, $salt);
if($cookie_hash != $_COOKIE['custom_cookie']){
setcookie('custom_cookie', '', 1, '/');
unset($_COOKIE['custom_cookie']);
}
}
} else {
if(isset($_COOKIE['custom_cookie'])){
setcookie('custom_cookie', '', 1, '/');
unset($_COOKIE['custom_cookie']);
}
}
} else {
if(isset($_COOKIE['custom_cookie'])){
setcookie('custom_cookie', '', 1, '/');
unset($_COOKIE['custom_cookie']);
}
}
}
add_action('init', 'intervik_theme_set_custom_cookie');
function intervik_restricted_wp_get_attachment_url($url, $post_id){
if(strpos($url, '/restricted/') !== FALSE){
if(isset($_COOKIE['custom_cookie'])){
$url = add_query_arg('r', $_COOKIE['custom_cookie'], $url);
}
}
return $url;
}
add_filter('wp_get_attachment_url', 'intervik_restricted_wp_get_attachment_url', 10, 2);
wp_get_attachment_image_src
等。但是直接链接到媒体就足够了。
if(current_user_can('edit_posts')
if(is_user_logged_in() ...
将所有内容更改为仅登录/注销
f(!is_admin()
&& strpos($url, '/restricted/')!== FALSE) ...
跳过管理后端中的过滤器
.htaccess
文件,位于
uploads/restricted/
文件夹的根目录中:
# BEGIN Intervik
Options +FollowSymLinks
Options All -Indexes
<IfModule !mod_rewrite.c>
Deny from all
</IfModule>
<IfModule mod_headers.c>
Header set Cache-Control "no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires 0
</IfModule>
RewriteEngine On
RewriteCond %{HTTP_COOKIE}::%{QUERY_STRING} !\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$)
RewriteRule . /workspace/restricted.png? [R,L]
# END Intervik
最佳答案
您在进行不同的尝试时会有一些正确的地方,但是您需要以正确的顺序将它们放在一起。
请尝试以下操作:
RewriteEngine On
# custom_cookie value is 32 char hex and must match the value of the "r" URL parameter
RewriteCond %{HTTP_COOKIE}::%{QUERY_STRING} !\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$)
RewriteRule ^ /komfortkonsult/restricted.png [QSD,R,L]
QSD
标志(Apache 2.4+)是从重定向URL中删除查询字符串所必需的。或者,如果您仍在使用Apache 2.2,则可以将
?
附加到替代项。
RewriteBase
。
<IfModule>
也应删除。仅当打算在没有mod_rewrite可用的情况下起作用时,才需要
<IfModule mod_rewrite.c>
包装器。它不是。如果mod_rewrite不可用,那么您的条件将仅静默失败并且访问将不受限制。在这种情况下,最好是由于错误而失败,并且禁止访问(所有人)。
r
URL参数始终是第一个URL参数(如您的示例)。
RewriteRule
指令更改为:
RewriteRule ^ - [F]
r
URL参数是查询字符串的一部分,而不是URL路径。
REQUEST_URI
服务器变量仅包含URL路径,特别是不包括查询字符串。要匹配查询字符串,您需要与
QUERY_STRING
服务器变量进行比较。
%{HTTP_COOKIE}::%{QUERY_STRING}
-使用分隔符(
cookie
)将
::
HTTP请求标头与查询字符串连接在一起,该分隔符保证不会出现在两个值中。这形成了TestString。
!\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$)
-这是与TestString匹配的CondPattern。
\b
是单词边界,因此我们仅匹配此特定的cookie。使用
([0-9a-f]{32})
捕获此cookie的值。然后,我们跳过cookie标头中的所有剩余字符,直到到达分隔符(
::
)。此后,我们将与查询字符串(TestString中
QUERY_STRING
服务器变量的值)进行匹配。 “魔术”是对第一个捕获组的
\1
反向引用。 Cookie值。
!
前缀使整个模式无效。因此,当此模式不匹配时,即条件成功。 Cookie和URL参数的值不同时(或根本不存在)。
RewriteCond %{HTTP_COOKIE} custom_cookie=(.*)$
RewriteCond %1::%{REQUEST_URI} ^(.*?)::/\1/?
Cookie
标头中的最后一个cookie。这很难保证。
REQUEST_URI
)匹配,因此永远不会匹配。假定您的URL格式为:
http://localhost/870603c9d23f2b7ea7882e89923582d7
。
RewriteCond %{QUERY_STRING} ^r=(.*)$
RewriteRule ^/ - [E=COOKIE_MATCH:%1]
RewriteCond %{HTTP_COOKIE} !custom_cookie="%{ENV:COOKIE_MATCH}"
RewriteRule
永远不会匹配,因为URL路径永远不会在每个目录(
.htaccess
)上下文中以斜杠开头。因此,永远不会设置
COOKIE_MATCH
环境变量。
%{ENV:COOKIE_MATCH}
-它被视为文字字符串。您还用双引号将其括起来,它们也不是cookie值的一部分。
RewriteCond %{HTTP_COOKIE} custom_cookie=([^;]+) [NC]
RewriteCond %{REQUEST_URI} !%1 [NC]
%1
反向引用,因此无论如何它都被视为文字字符串。
%{VARIABLE}
(和
%1
等)表达式的原因,我们需要使用看似复杂的表达式,该表达式使用以下形式的regex后向引用:
%{VAR1}@@%{VAR2} ^(.+)@@\1$
关于.htaccess - Apache htaccess:如果REQUEST_URI与cookie值不匹配,则拒绝,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52717216/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!