注册
登录
云鉴权
在htaccess重写规则中将秘密令牌作为查询字符串附加是否安全?
返回
在htaccess重写规则中将秘密令牌作为查询字符串附加是否安全?
作者:
记忆只剩空城
发布时间:
2024-12-13 11:41:01 (8天前)
转自:
<div class =“excerpt”> 在尝试提供mod-rewrite重定向的答案但是阻止直接访问时,我正在做一些测试。 原始问题的目标基本上是掩护example.com/public/foo作为example.com/foo,而... </DIV>
收藏
举报
2 条回复
0#
回复此人
一生浮华
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 通常,客户永远不应该看到 <code> SECRET_TOKEN </code> - 正如你所说,重写是服务器内部的。 </p> <P> 但是,这是可能的 <code> SECRET_TOKEN </code> 可能会在某些条件下暴露,具体取决于服务器配置。 </p> <P> 例如,使用您发布的代码, <code> SECRET_TOKEN </code> 可以通过请求暴露出来 <code> example.com/public </code> 要么 <code> example.com/subdir </code> (哪里 <code> subdir </code> 是一个子目录 <code> /public </code> ) - 注意遗漏斜杠。 </p> <OL> <LI> <P> 的<strong> example.com/public </强> - 如果你要求 <code> /public </code> (没有尾部斜杠)然后mod_dir通过附加一个尾部斜杠“纠正”这个,这是通过301外部重定向实现的。但是,重定向不会立即发生并且您的 <code> RewriteRule </code> 指令最终重写此请求(因为 <code> REQUEST_URI </code> 变量仍然存在 <code> /public </code> 在这一点上 - 没有尾随斜线) <code> /public/?token=SECRET_TOKEN </code> (注意目录上的尾部斜杠)。 (URL路径似乎没有被更新 <code> RewriteRule </code> 出于某种原因,正如您可能预期的那样 <code> /public/public </code> 但是,仍会附加查询字符串。也许与mod_dir发出的子请求有关?不确定为什么?)因为已经由mod_dir触发了301,这个响应(包含 <code> SECRET_TOKEN </code> )现在作为一个发送回用户 <EM> 外部重定向 </EM> 和 <code> SECRET_TOKEN </code> 暴露了。 </p> </LI> <LI> <P> 的<strong> example.com/subdir </强> - 如果有一个子目录,会发生类似(但略有不同)的事情 <code> /public/subdir </code> 你要求了 <code> /subdir </code> (没有尾随斜线)。您的 <code> RewriteRule </code> 这次指令首先在内部重写并在内部重写请求 <code> /public/subdir?token=SECRET_TOKEN </code> 。好到目前为止。但是然后mod_dir开始并希望附加一个尾随斜杠 <code> /public/subdir </code> - 它使用外部301重定向执行此操作。所以请求现在 <EM> 重定向 </EM> 至 <code> /public/subdir/?token=SECRET_TOKEN </code> 和 <code> SECRET_TOKEN </code> 暴露给用户(以及 <code> /public </code> 子目录,以前是未知的)。 </p> </LI> </醇> <P> 但是,以这种方式使用查询字符串确实有一些其他警告: </p> <OL> <LI> <P> 就目前而言,您将覆盖请求中的任何其他查询字符串。 </p> </LI> <LI> <P> 要合并请求中的现有查询字符串,您需要指定 <code> QSA </code> 国旗上 <code> RewriteRule </code> 。但是,如果用户随后附加 <code> ?token= </code> 根据请求,他们会覆盖你的 <code> token </code> URL参数如果你想用这个来读它 <code> $_GET </code> PHP脚本中的超全局。您可以通过显式包含来手动更改查询字符串参数的顺序 <code> QUERY_STRING </code> 服务器变量 <EM> 代换 </EM> 而不是使用QSA标志 - 但这有点混乱(例如,如果没有查询字符串怎么办?)。 </p> </LI> </醇> </DIV>
编辑
登录
后才能参与评论
