Fatal编程技术网
  • php/
  • Php 如何对未登录的用户隐藏js/css文件?

Php 如何对未登录的用户隐藏js/css文件?

php

Php 如何对未登录的用户隐藏js/css文件?,php,Php,我在apache服务器上,我想对未登录的人隐藏资产。我的登录逻辑/cookies是用php编写的,因此如果登录cookie不存在,很容易重定向。但是如何限制对其他资产(如css/js/images)的访问?例如,在我的网站example.com/user/foo.php的登录墙后面。但是foo.php也加载example.com/js/user/foo.js。现在,任何知道文件位置的人都可以看到js文件的内容。但是我想限制它,因此必须要求用户登录才能加载js/css文件。主要是js,因为它可能有

我在apache服务器上,我想对未登录的人隐藏资产。我的登录逻辑/cookies是用php编写的,因此如果登录cookie不存在,很容易重定向。但是如何限制对其他资产(如css/js/images)的访问?例如,在我的网站example.com/user/foo.php的登录墙后面。但是foo.php也加载example.com/js/user/foo.js。现在,任何知道文件位置的人都可以看到js文件的内容。但是我想限制它,因此必须要求用户登录才能加载js/css文件。主要是js,因为它可能有敏感数据或公开一些内部api调用等

如果登录cookie不存在,则很容易重定向

这几乎不是一个有效的解决办法

虽然我怀疑这样做是否真的有好处,但最简单的解决方案是:

  • 使用mod_rewrite通过一个PHP脚本来路由对静态内容的所有请求,该脚本可以验证会话是否经过身份验证(这将非常慢,需要在控制器中重新实现缓存)

  • 使用mod_auth_memcookie控制对Web服务器层文件的访问

如果登录cookie不存在,则很容易重定向

这几乎不是一个有效的解决办法

虽然我怀疑这样做是否真的有好处,但最简单的解决方案是:

  • 使用mod_rewrite通过一个PHP脚本来路由对静态内容的所有请求,该脚本可以验证会话是否经过身份验证(这将非常慢,需要在控制器中重新实现缓存)

  • 使用mod_auth_memcookie控制对Web服务器层文件的访问

这里真正的解决方案不是将敏感数据放入JS文件中。一个选项是通过PHP将Javascript/CSS手动加载到HTML的
段中。并不是说这很容易或者是解决问题的最佳方法。这里真正的解决方案是不在预登录页面中输出任何脚本或CSS。。。这是一个真正的问题吗?看看这篇文章:如果你的JS文件包含敏感数据,那么你已经有麻烦了。而且,您的API调用应该受到保护,不会被未登录的用户调用,因此您也不必担心它们。这里真正的解决方案是不将敏感数据放入JS文件中。一个选项是通过PHP将Javascript/CSS手动加载到HTML的
段中。并不是说这很容易或者是解决问题的最佳方法。这里真正的解决方案是不在预登录页面中输出任何脚本或CSS。。。这是一个真正的问题吗?看看这篇文章:如果你的JS文件包含敏感数据,那么你已经有麻烦了。您的API调用应该受到保护,不会被未登录的用户调用,因此您也不必担心它们。我的逻辑使用session变量。我认为这很安全。我只是想阻止一个可能存在或不存在的弱点。My js没有固有的敏感数据,但它可以帮助攻击者更好地理解我的内部请求。这不是主墙,只是墙前的一道小栅栏。其他网站是如何做到这一点的?不登录就可以访问facebook在登录页面上使用的js文件吗?
我认为这足够安全了
——那么要么你是在浪费时间,要么你不理解这个问题
可以访问facebook使用的js文件吗
-你不知道如何自己检查吗?我的问题不是关于我实现登录逻辑的安全性。它偏离了主题,但你能告诉我如何改进它吗?我目前正在php会话变量中存储登录用户的id。如何改进它?我的逻辑使用session变量。我认为这很安全。我只是想阻止一个可能存在或不存在的弱点。My js没有固有的敏感数据,但它可以帮助攻击者更好地理解我的内部请求。这不是主墙,只是墙前的一道小栅栏。其他网站是如何做到这一点的?不登录就可以访问facebook在登录页面上使用的js文件吗?
我认为这足够安全了
——那么要么你是在浪费时间,要么你不理解这个问题
可以访问facebook使用的js文件吗
-你不知道如何自己检查吗?我的问题不是关于我实现登录逻辑的安全性。它偏离了主题,但你能告诉我如何改进它吗?我目前正在php会话变量中存储登录用户的id。我怎样才能改进它?