【发布时间】:2018-04-17 18:30:31
【问题描述】:
我有一个使用 Wordpress 的面向公众的网站。我们有一个用于在线应用我们服务的自定义页面,但我们发现如果您知道服务器上某个文件的名称,您可以通过猜测该文件的正确 html 链接来查看任何内容。
这些应用程序在线存储,作为提交表单通过电子邮件发送的应用程序的备份。我们希望提交按钮中的 HTML 仍然可以保存应用程序,但不允许人们访问存储它们的子目录。我可以创建一个脚本来按计划下载和删除应用程序,以便它们大部分被清除,但总会有人在正确的时间猜测并查看应用程序,或者甚至暴力脚本下载。
【问题讨论】:
-
定义“公共”...
-
将您的文件存储在 Web 服务器发布的文件夹之外。创建一个对用户进行身份验证的脚本,然后动态输出文件。请参阅serverfault.com/questions/316814/… 的示例
-
没有必要对用户进行身份验证,因为公众(地球上的任何人)在点击提交后实际上无法看到应用程序,它会通过电子邮件发送给我们,然后是 .html 输出表单被保存到一个名为应用程序的子目录中。我们每隔几天手动下载应用程序并将它们保存到服务器,以防万一我们需要历史参考。