我不想让人们直接访问 AJAX 目录中的页面,但他们仍然需要从其父页面获得服务。我尝试了许多 .htaccess 行,但它们也都将其从主页中屏蔽了。总而言之,我不希望人们能够输入 http://www.mysite.com/AJAX/page1.html 并查看它,但 page1.html 需要通过 AJAX 引入其父页面。
<LIMIT GET POST>
Order deny, allow
deny from all
</LIMIT>
阻止所有访问
您能否在父文件define('IS_IN_SCRIPT',1); 中定义一个标志并在AJAX 页面中检查它?这适用于 AJAX 页面还是仅包含 PHP?
【问题讨论】:
检查$_SERVER['HTTP_REFERER'] 是否在您的域中(或可接受的域列表)
如果没有则重定向。
if (!empty($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], 'yourdomain.com') !== false)
{ echo 'probably from your own site'; }
【讨论】:
你总是可以设置一些东西,这样如果一个特定的参数没有通过 GET 或 POST 传递,ajax 页面只会将你重定向到其他地方。
在 php 中,它看起来像
if(!isset($_POST['some_var']))
header('Location: somePage.html');
【讨论】:
$$ zoe_daemon
您需要“链接器”文件才能通过 AJAX 从父页面打开私有文件。
/*this is simple "linker" file to open private file in folder named "private" from parent page via AJAX.*/
//begin linker.php
<?php
$link = $_GET["link"];
include "../private/$link.php";
?>
//end linker.php
然后,“private”文件夹中的文件需要检查请求URI是否不包含字符串“private”;这对想要直接私有文件的用户无效。 例如,如果您将此代码放在要放置的操作代码之前,则无法直接访问名为“private”的文件夹中的“login.php”
//begin login.php
$count = 0;
$test = str_replace("name_of_directory_cannot_directly","dummy_string",$_SERVER['REQUEST_URI'], $count ); //or
if ($count > 0) {
die "Ooouuuppppsss, you cannot access this file directly");
}
/*
//your code here....
*/
//end login.php
【讨论】: