如何使文件只能被脚本访问？ / 直接无法访问？答案

【问题标题】：How to make files only accessible to scripts? / Innacessable Directly?如何使文件只能被脚本访问？ / 直接无法访问？
【发布时间】：2014-04-12 19:32:27
【问题描述】：

我整天都在寻找一个解决方案，如何让文件无法直接访问，但脚本仍然可以访问。我找到的所有答案都让我陷入了循环。这可能对某人有用。

如果有人有更好的解决方案，请发帖。

这是我找到的。

如何使文件只能被脚本访问（包括客户端脚本？）/不可直接访问（IE：通过 URL）？

开启 mod_rewrite

在 .htaccess 文件中：

RewriteEngine on

RewriteCond %{HTTP_REFERER} !http://*************
RewriteCond %{HTTP_REFERER} !http://*************
RewriteRule ^ - [L,F]

在 ******

中输入您的域

如果需要，使用 Https。

【问题讨论】：

根本不可能区分您的客户端代码和恶意攻击者。
放到web不能访问的目录中
看看这个stackoverflow.com/questions/7127153/…
不可能区分这两者，但可以区分脚本是从网站页面访问的，还是直接通过 url 访问到会为网站创建技巧并阻止访问脚本的级别来自那些不关心花费大量时间访问它的人。因为客户端脚本是由网站访问的，所以它们需要离线访问。我应该更具体。这个答案比 nessesary 复杂得多，而且我不确定它是否完全符合这个 senario 的要求。我将为这个答案添加更多上下文。

【解决方案1】：

如果“直接”是指从浏览器访问文件，则可以要求 HTTP 客户端提供自定义标头，例如X-Access: authorized_script 所以不能轻易从浏览器发送。

answer 讨论了它是如何使用 Apache 完成的。

【讨论】：