Apache htaccess：如果 REQUEST_URI 与 cookie 值不匹配，则拒绝

Question

所以，在整个社区寻找解决方案后，我的问题如下：

我在 Wordpress 环境中工作，Apache 服务器。我在上传中有一个名为 /restricted/ 的文件夹。此处的所有内容（任何文件扩展名）只有在以下情况下才能访问：：

• 设置了名为“custom_cookie”的 cookie
• 并且这个cookie值必须是URL请求的部分匹配

如果这些条件失败，则会提供图像。在这个/restricted/ 文件夹中，我得到了一个.htaccess 文件。一切都必须（首选）在那个 htaccess 文件中完成，而不是在 root htaccess 文件中。

cookie是functions.php设置的，没问题 部分。而关于安全性的 cmets 不是这里的问题

这是一个 url 示例（本地主机）：http://localhost/komfortkonsult/wp-content/uploads/restricted/some-file.jpg?r=870603c9d23f2b7ea7882e89923582d7

第一个条件设置了一个名为 custom_cookie 的 cookie，一切都在工作：

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /komfortkonsult/

RewriteCond %{REQUEST_URI} ^.*uploads/restricted/.*
RewriteCond %{HTTP_COOKIE} !custom_cookie
RewriteRule . /komfortkonsult/restricted.png [R,L]

</IfModule>

但是，下一部分我完全出局了，但是我尝试失败了以下方法：

RewriteCond %{HTTP_COOKIE} custom_cookie=(.*)$
RewriteCond %1::%{REQUEST_URI} ^(.*?)::/\1/?
RewriteRule . /komfortkonsult/restricted.png [R,L]

同样：

RewriteCond %{QUERY_STRING} ^r=(.*)$
RewriteRule ^/ - [E=COOKIE_MATCH:%1]
RewriteCond %{HTTP_COOKIE} !custom_cookie="%{ENV:COOKIE_MATCH}"
RewriteRule . /komfortkonsult/restricted.png [R,L]

同样：

RewriteCond %{HTTP_COOKIE} custom_cookie=([^;]+) [NC]
RewriteCond %{REQUEST_URI} !%1 [NC]
RewriteRule . /komfortkonsult/restricted.png [R,L]

等等。我真的想把它保存在.htaccess 中，而不是通过.php 文件调用进行验证。但是如果这是我架构的唯一解决方案，请提供一个完整的工作示例（不是 foo=bar，你的重定向在这里...）

我的目标的任何其他方法都是受欢迎的。

非常感谢您帮我解决这个问题。

/Intervik

---

更新（在接受答案并工作后）使用示例

目标是在 Wordpress 单一安装中一层保护。如果A) ，所有上传并附加到页面的媒体、图像或其他文件都被隐藏用户未登录或B)用户已登录但没有'edit_post'功能。

但限制仅适用于上传到名为/restricted/ 的唯一文件夹的文件。该文件夹位于 Wordpress 原始 /uploads/ 根目录中。此受限材料不允许直接链接或被搜索引擎等访问。不允许浏览器缓存，并且限制必须在注销后立即生效。还有更多……但我想你明白了。

命名空间'custom_cookie' 只是一个示例。显示 Wordpress 安装的示例位于 localhost 的子文件夹中。喜欢h**p://example.com/workspace/。如果在 root 中，则删除 'workspace/'。

cookie 架构，functions.php

function intervik_theme_set_custom_cookie(){

    if(is_user_logged_in()){

        global $current_user;

        if(current_user_can('edit_posts')){

            if(!isset($_COOKIE['custom_cookie'])){
                $cookie_value = $current_user->ID . '|' . $current_user->user_login . '|' . $current_user->roles;
                $salt = wp_salt('auth');
                $cookie_hash = hash_hmac('md5', $cookie_value, $salt);
                setcookie('custom_cookie', $cookie_hash, time()+36, '/');
                $_COOKIE['custom_cookie'] = $cookie_hash;
            } else {
                $cookie_value = $current_user->ID . '|' . $current_user->user_login . '|' . $current_user->roles;
                $salt = wp_salt('auth');
                $cookie_hash = hash_hmac('md5', $cookie_value, $salt);
                if($cookie_hash != $_COOKIE['custom_cookie']){
                    setcookie('custom_cookie', '', 1, '/');
                    unset($_COOKIE['custom_cookie']);
                }
            }

        } else {

            if(isset($_COOKIE['custom_cookie'])){
                setcookie('custom_cookie', '', 1, '/');
                unset($_COOKIE['custom_cookie']);
            }
        }

    } else {

        if(isset($_COOKIE['custom_cookie'])){
            setcookie('custom_cookie', '', 1, '/');
            unset($_COOKIE['custom_cookie']);
        }
    }
}
add_action('init', 'intervik_theme_set_custom_cookie');

如您所见，对于 每个有效用户，每个 cookie 是唯一的，对于每 +36 秒的时间段（足够加载页面 - 但使用 +120 2分钟）。此“令牌”应用于发送到服务器的每个请求：

附件网址过滤器的链接：

function intervik_restricted_wp_get_attachment_url($url, $post_id){
    if(strpos($url, '/restricted/') !== FALSE){
        if(isset($_COOKIE['custom_cookie'])){
            $url = add_query_arg('r', $_COOKIE['custom_cookie'], $url);
        }
    }
    return $url;
}
add_filter('wp_get_attachment_url', 'intervik_restricted_wp_get_attachment_url', 10, 2);

我们不允许任何其他查询字符串。备注，必须为尺寸添加更多过滤器，例如wp_get_attachment_image_src 等。但是直接链接到媒体，这就足够了。

将if(current_user_can('edit_posts') 替换为另一个 if(is_user_logged_in() ... 将所有内容更改为仅登录/退出 用户。然后使用 if(!is_admin() && strpos($url, '/restricted/')!== FALSE) ... 跳过管理后端中的过滤器

最后是.htaccess 文件，位于uploads/restricted/ 文件夹的根目录中：

# BEGIN Intervik
Options +FollowSymLinks
Options All -Indexes

<IfModule !mod_rewrite.c>
Deny from all
</IfModule>

<IfModule mod_headers.c>
Header set Cache-Control "no-cache, no-store, must-revalidate"
Header set Pragma "no-cache"
Header set Expires 0
</IfModule>

RewriteEngine On
RewriteCond %{HTTP_COOKIE}::%{QUERY_STRING} !\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$)
RewriteRule . /workspace/restricted.png? [R,L]

# END Intervik

我还在 Wordpress 安装根目录中放置了漂亮的 PNG IMAGE“受限访问超时”。这也作为非有效管理员的图书馆管理区域的缩略图。上传过滤器或后端是另一个区域。

我们不是在这里保护英格兰的财务计划，但我们想保留 为一个组织和一些来自 Google 和来自的图片 你的妻子。

请发表评论

它确实有效，欢迎您评论缺陷或安全风险。然而，在我们的安装中，在这一层之上还有另一层使用 PHP 进行验证，但我们需要速度来处理不那么重要的事情。

Answer 1

您在不同的尝试中获得了一些正确的位，但您需要以正确的顺序将它们组合在一起。

请尝试以下方法：

RewriteEngine On

# custom_cookie value is 32 char hex and must match the value of the "r" URL parameter
RewriteCond %{HTTP_COOKIE}::%{QUERY_STRING} !\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$)
RewriteRule ^ /komfortkonsult/restricted.png [QSD,R,L]

QSD 标志 (Apache 2.4+) 是从重定向 URL 中删除查询字符串所必需的。或者，如果您仍在使用 Apache 2.2，那么您可以将 ? 附加到 susbstitution。

请注意，此处不需要RewriteBase。 <IfModule> 也应该被删除。 <IfModule mod_rewrite.c> 包装器仅在打算在没有 mod_rewrite 可用的情况下工作时才需要。它不是。如果 mod_rewrite 不可用，那么您的条件将简单地失败并且访问将不受限制。在这种情况下，最好是出现错误并禁止访问（所有人）。

假设：

• cookie 值为 32 个字符的十六进制值（如您的示例所示）。
• r URL 参数始终是第一个 URL 参数（如您的示例中所示）。

您提到“任何文件扩展名”，但是，如果首先请求图像，重定向到图像才真正“有效”。如果您有图像以外的文件，最好简单地返回 403 Forbidden。 （严格来说，发送 403 是正确的响应，而不是 302，然后是 200 OK。）要发送 403，只需将 RewriteRule 指令更改为：

RewriteRule ^ - [F]

这是如何工作的......

• 除一个示例外，所有示例都遗漏了重要的一点，即r URL 参数是 查询字符串 的一部分，而不是 URL 路径。 REQUEST_URI 服务器变量仅包含 URL 路径，特别是不包括查询字符串。要匹配查询字符串，您需要与QUERY_STRING 服务器变量进行比较。

• %{HTTP_COOKIE}::%{QUERY_STRING} - cookie HTTP 请求标头与 查询字符串 使用分隔符 (::) 连接，保证不会出现在任一值中。这形成了 TestString。

• !\bcustom_cookie=([0-9a-f]{32})\b.*::r=\1(&|$) - 这是与 TestString 匹配的 CondPattern。 \b 是一个单词边界，所以我们只匹配这个特定的 cookie。此 cookie 的值是使用([0-9a-f]{32})捕获的。然后，我们跳过 cookie 标头中的任何剩余字符，直到到达分隔符 (::)。在此之后，我们将匹配 查询字符串（TestString 中 QUERY_STRING 服务器变量的值）。 “魔法”是\1 对第一个捕获组的反向引用，即。 cookie 值。

• CondPattern 上的 ! 前缀否定了整个模式。因此，当此模式不匹配时，条件成功，即。当 cookie 和 URL 参数的值不同（或根本不存在）时。

为什么您的尝试没有成功...

RewriteCond %{HTTP_COOKIE} custom_cookie=(.*)$
RewriteCond %1::%{REQUEST_URI} ^(.*?)::/\1/?

• 这假定您的 cookie 是 Cookie 标头中的最后一个 cookie。这很难保证。
• 您正在尝试将 cookie 值与整个 URL 路径 (REQUEST_URI) 匹配，因此这永远不会匹配。它假定您的 URL 采用以下形式：http://localhost/870603c9d23f2b7ea7882e89923582d7。

RewriteCond %{QUERY_STRING} ^r=(.*)$
RewriteRule ^/ - [E=COOKIE_MATCH:%1]
RewriteCond %{HTTP_COOKIE} !custom_cookie="%{ENV:COOKIE_MATCH}"

好的，您正在检查 查询字符串 中的 URL 参数值。不过……

• 第一个 RewriteRule 永远不会匹配，因为 URL 路径在每个目录 (.htaccess) 上下文中永远不会以斜杠开头。因此，永远不会设置 COOKIE_MATCH 环境变量。
• CondPattern 是一个正则表达式，而不是一个普通字符串，所以 %{ENV:COOKIE_MATCH} 不会被计算 - 它被视为一个文字字符串。您还用双引号将其括起来，这也不是 cookie 值的一部分。

RewriteCond %{HTTP_COOKIE} custom_cookie=([^;]+) [NC]
RewriteCond %{REQUEST_URI} !%1 [NC]

• 同样，您是在比较 URL 路径，而不是查询字符串。但是，如上所述，%1 反向引用不会在 CondPattern 中进行评估，因此无论如何这都被视为文字字符串。

这就是为什么%{VARIABLE}（和%1等）表达式没有在CondPattern中求值的原因，我们需要使用看似复杂的表达式，该表达式使用如下形式的正则表达式反向引用：

%{VAR1}@@%{VAR2} ^(.+)@@\1$