Jak zapobiec dostępowi do wszystkich plików php w folderze z htacces, ale kiedy chcę dostęp przez iframe działa dobrze?
Nie chcę, aby użytkownicy uzyskiwali dostęp przez adres URL, ponieważ byłby to błąd bezpieczeństwa.
Jakakolwiek odpowiedź?
Odpowiedzi:
4 dla odpowiedzi № 1Dostęp do strony za pomocą elementu iframe jest taki sam, jak dostęp do niej za pośrednictwem adresu URL. Jeśli strona stanie się niedostępna w ten sposób, ramka iframe również nie będzie mogła jej załadować.
1 dla odpowiedzi nr 2
To po prostu niemożliwe. Nie możesz mieć tego, czego chcesz. Możesz myśleć o iframe jako przeglądarce w przeglądarce. Element iframe wysyła do serwera niezależne, świeże żądanie GET dotyczące adresu URL treści, bez wskazania, że jest on używany w elemencie iframe.
Jednak po dostarczeniu strony do klienta można uruchomić skrypt javascript, aby sprawdzić, czy jest to element iframe, i usunąć własną zawartość, jeśli nie jest.
if (top === self) {
// not in an iframe. delete all the content
document.body.innerHTML = "Not allowed";
}
Możesz to odwrócić, aby dostarczyć niewidoczną treść, ale javascript sprawi, że treść będzie widoczna, jeśli top != self
Teraz oczywiście wpływa to tylko na widocznośćtreści dla użytkownika. Nadal jest dostarczany i użytkownik zaawansowany może nadal z nim współdziałać. To tylko odrobina wizualnego oszustwa - brak bezpieczeństwa.