Разрешение доступа к кнопке отправки, но не к общедоступной
У меня есть общедоступный сайт, использующий Wordpress. У нас есть одна настраиваемая страница для онлайн-приложений к нашему сервису, но мы обнаружили, что если вы знаете имя одного из файлов на сервере, вы можете просмотреть все, что угодно, угадав правильную ссылку html для файла.
Эти приложения хранятся в Интернете в качестве резервной копии тех, которые отправляются по электронной почте с помощью формы отправки. Мы хотели бы, чтобы HTML в кнопке отправки по-прежнему сохранял приложения, но не позволял людям получать доступ к подкаталогу, в котором они хранятся. Я могу создать сценарий для загрузки и удаления приложений по расписанию, чтобы они были очищены от по большей части, но всегда будет возможность для кого-то угадать в нужный момент и увидеть приложения или даже загрузку сценария методом грубой силы.
хранить файлы вне опубликованных папок веб-сервера. Создайте сценарий, который аутентифицирует пользователя, а затем динамически выводит файл. См. Пример на serverfault.com/questions/316814/…
Нет необходимости аутентифицировать пользователя, поскольку публика (кто-либо на планете) не может фактически видеть приложение после нажатия кнопки отправки, оно отправляется нам по электронной почте, а затем вывод формы .html сохраняется в подкаталоге, называемом приложениями. . Мы загружаем приложения вручную каждые несколько дней и сохраняем их на сервере, на тот случай, если нам понадобится исторически обратиться к одному из них.
Ответы 1
В итоге мы использовали htaccess и htpasswd вместе с пустым index.html. Это запрашивает сверхсложный пароль и не приводит к ошибке 401.
Определите «общедоступный» ...