是Apache'；重写HTTP_Referer以防止Referer欺骗？_Apache_Security_Http_Mod Rewrite_Http Referer

是Apache'；重写HTTP_Referer以防止Referer欺骗？

apache security http mod-rewrite

是Apache'；重写HTTP_Referer以防止Referer欺骗？,apache,security,http,mod-rewrite,http-referer,Apache,Security,Http,Mod Rewrite,Http Referer,Apache中的重写HTTP\u Referer是否可以安全地阻止对私有（受密码保护，而不是通过Apache的mod\u auth）HTML页面中包含的脚本或数据的直接访问或者有人会使用Referer欺骗来访问脚本和数据吗例如： RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^https?.(www\.)?mydomain.com/.*$ [NC] RewriteRule \.(tx

Apache中的重写HTTP\u Referer是否可以安全地阻止对私有（受密码保护，而不是通过Apache的

mod\u auth

）HTML页面中包含的脚本或数据的直接访问

或者有人会使用Referer欺骗来访问脚本和数据吗

例如：

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?.(www\.)?mydomain.com/.*$ [NC]
RewriteRule \.(txt|js|pdf)$

重写条件检查HTTP客户端头（

Referer

）。因此，用户/攻击者完全可以自由地向您发送任何她想要的值，即。她能骗过头球

因此，认证会话（您提到的密码保护区域）是不安全的

它只对其他网站链接你的资源从而“窃取”你的流量有帮助。但是，即使在这种情况下，你也应该考虑到一些不利因素，比如你的网站破坏了那些因为隐私问题而欺骗或删除推荐者的人。

我不太清楚你在问什么，但是如果你已经知道推荐者是“可哄骗的”，那么肯定有可能欺骗你的头。那么，这怎么可能对您来说仍然是一个未回答的问题…？CBroe-我想知道引用器欺骗是否可以通过Apache实现，或者Apache是否提供了针对它的内置安全性。（Apache初学者）是否有任何方法阻止未经身份验证的用户（没有mod_auth）访问HTML页面中包含的图像/文件/数据？我知道你可以把PHP包含在公共html之外；有什么方法可以用HTML来做到这一点吗？用“just”HTML？否。您将如何做取决于您的身份验证方案、中间件等。最终，服务器站点会在返回数据之前检查请求的身份验证状态。是否有任何方法可以确保HTML代码中包含的文件（例如或）不在密码保护的页面index.php之外被访问？