资产访问限制方法 - 阻止不需要的访客

钥匙要点

• >对您的资产实施访问控制对于安全至关重要。白名单是推荐的方法，看门人只允许受信任的实体访问您的资产。可以将该网守放置在HTTP服务器或应用程序代码上，提供检查HTTP_HOST的工具。> HTTP服务器可以有效地处理访问控制，而无需为每个请求启动应用程序代码。根据服务器，可以使用不同的方法，例如mod_rewrite或apache中的允许/拒绝，或者可以使用nginx中的httpreferermodule。但是，如果有许多域需要管理或频繁更改，则这种方法的可伸缩性可能是一个挑战。 在应用程序代码级别上的访问控制提供了更大的灵活性。此方法还可以处理IFRAME情况，在此情况下，转介商未提供有关iFrame状态的信息。但是，HTTP服务器和应用程序代码方法都不是万无一失的，建议使用基于令牌的守门人（例如Oauth）来增强安全性。
>构建很棒的网络应用程序或网站时，我们有时希望人们能够将我们的Web应用程序/网站的一部分嵌入自己的位置。那可能是一个持有“喜欢”按钮的iframe，他们想重复使用的简单映像，甚至是我们整个应用程序嵌入在iframe中的图像。
• >
但是，我们如何控制谁有访问权限，允许谁消耗我们的带宽并查询我们的服务？

>

我们将问题定义为

控制访问

to

资产

> 通过资产，我们的意思是：任何可以从我们的网站查询的东西。> >访问限制：允许一些，阻止全部

>

在谈论访问控件时，我们进入安全域。在谈论安全性时，白名单应该是解决问题的方法。控制谁可以访问您的资产

比控制谁更容易访问您的资产。根本不可能知道互联网的所有布吉怪物。>

为了保护我们的

资产

，我们雇用了一个看门人，只让我们信任的人。问题解决了。但是，看门人应该如何举起？> 举重策略

>取决于您希望看门人的安全性以及客户要求的东西，可以使用不同的策略。> >使用的一种常用方法是检查参考器标头。该方法有3个大缺点：

当人们使用链接
1. 访问您的网站时，也将设置推荐人
推荐人是由客户端发送到您的服务器的，可以更改
2. >
可能根本无法设置推荐人
但是，对于静态资产，例如图像，JS和CSS，这些缺点不是问题。仅当用户直接访问我们的网站（或来自受信任的网站）时，才应加载您的资产。一般的想法是阻止其他人热链接他们。因此，推荐人将始终在您的白名单上。除非您不信任自己 - 但是您有更大的问题。

>

兄弟，你甚至举起吗？

>

>根据所使用的设置，查询通过一系列门

。简单的设置为：客户端 - > http服务器 - >应用程序代码

那么，您的看门人在哪里坐在哪里？事实上，客户是访问控制的事实，因为他是一个不可靠的人。另一方面，HTTP服务器和应用程序代码是有用的选项。两者都为我们提供了强大的工具来检查HTTP_HOST。

http服务器知道如何举起

让您的HTTP服务器处理您的访问控件的强度是速度。无需为每个请求启动应用程序代码。这可以大大提高性能，因为我们不需要将整个应用程序堆栈/线程（例如mod_php）加载到内存中。

>

>根据您的HTTP服务器，可以使用不同的解决方案。

>

apache

在Apache中，有两种不同的方法。我们可以使用mod_rewrite或允许/拒绝。

>

mod_rewrite方法：

大多数托管提供商都支持mod_rewrite。

允许/拒绝方法：

# Turn mod_rewrite on
RewriteEngine On

# if it is not trusted.domain.tld block it
RewriteCond %{HTTP_REFERER} !^trusted\.domain\.tld$ [NC]
RewriteCond %{HTTP_REFERER} !^trusted\.tld$ [NC]
RewriteRule ^ - [F]

并非所有主机都支持这些设置。

nginx

#specify the files to guard, block all the assets
<files "*.*">
  #block everyone
  Deny from all
  #allow trusted ones
  Allow from trusted.tld trusted.domain.tld
</files>

HTTP服务器不认为

这里的大问题是可扩展性：如果我们有1000个域需要能够访问我们的资产怎么办？如果域列表经常更改

怎么办？

>对于每一个小编辑，我们都需要深入研究我们的配置文件 - 您手动更改的越多，越会出错。

>

应用程序代码知道该怎么做

在应用程序代码级别上，在应用程序代码级别上拥有访问控件意味着更大的灵活性。一个人可能很快就会让他的守门人起床并跑步：

location / {
  valid_referers trusted.tld trusted.domain.tld;
  if ($invalid_referer) {
    return   444;
  }
}

那些iframe呢？

> 如前所述，依靠推荐人并不总是一个好主意。它不仅是来自我们不可靠的人的数据，而且还没有关于我们是否处于iframe中的任何线索。根本无法知道。

但是，我们可以聘请杀手来帮助我们的守门人。我们的杀手将被派往看起来可疑的人类（例如那些没有信任的推荐人）。杀手将使用JS作为他的武器：

可悲的是，从不信任的域到达的人与其他人使用该不受信任域的iframe访问我们的人相同。但是，资产将将推荐人设置为我们的域（即使在iframe情况下） - 因此在此处发送杀手是过分的。只是拒绝访问就足够了 - 或者您可以发送随机的小猫图像。

# Turn mod_rewrite on
RewriteEngine On

# if it is not trusted.domain.tld block it
RewriteCond %{HTTP_REFERER} !^trusted\.domain\.tld$ [NC]
RewriteCond %{HTTP_REFERER} !^trusted\.tld$ [NC]
RewriteRule ^ - [F]

>

这就是为什么我们让杀手检查是否在iframe中的原因。如果是这样，我们让他杀死了我们的目标：

>我们唯一需要知道的是让我们的守门人将杀手添加到发送给客户的有效载荷中。简单！

#specify the files to guard, block all the assets
<files "*.*">
  #block everyone
  Deny from all
  #allow trusted ones
  Allow from trusted.tld trusted.domain.tld
</files>

location / {
  valid_referers trusted.tld trusted.domain.tld;
  if ($invalid_referer) {
    return   444;
  }
}

此代码不是生产证明。它是一个例子。

真实安全呢？

>

>这里提供的解决方案将使您免受大多数布吉怪物的侵害。但是两种解决方案都不是傻瓜。第一个使用来自客户端的数据，第二个是由客户端运行的JavaScript。

安全的方法是使用基于令牌的网守。 Oauth可能是您想要在这里工作的人，但这超出了本文的范围。

>

经常询问资产访问限制方法的问题（常见问题解答）

>资产访问限制的不同方法是什么？

资产访问限制方法是用于防止未经授权访问数字资产的策略。这些方法包括IP阻止，其中涉及从特定的IP地址阻止访问；地理障碍，该地理位置限制了访问权限；和用户代理阻止，可防止从特定的浏览器或设备访问。其他方法包括HTTP推荐程序阻止，该阻止限制了基于Referring网站的访问和密码保护，该密码保护要求用户输入密码以获取访问权限。

IP阻止在资产访问限制中如何工作？ IP阻塞是一种用于防止特定IP地址访问数字资产的方法。这是通过将IP地址添加到服务器配置文件中的“黑名单”中来完成的。来自这些IP地址的任何请求都将被拒绝，有效地阻止了它们访问资产。

>在资产访问限制中，地理障碍的目的是什么？限制基于地理位置的数字资产的访问。这通常用于遵守区域许可协议或防止因网络攻击而闻名的地区访问。地理障碍通过基于其IP地址确定用户的位置来起作用。

>如何在资产访问限制中使用用户代理阻止？

用户代理阻止是一种用于防止特定浏览器或设备访问数字资产的方法。这是通过识别用户代理字符串来完成的，用户代理字符串在向服务器提出请求时由浏览器或设备发送。如果用户代理字符串在服务器的“黑名单”上与一个匹配，则该请求将被拒绝。

> HTTP推荐人阻止在资产访问限制中的作用是什么？一种用于限制基于Referring网站访问的方法。这是通过检查HTTP推荐人标头来完成的，该标头包含请求来自的网站URL。如果转介程序在服务器的“黑名单”上，则将拒绝请求。

>

>密码保护如何在资产访问限制中起作用？

密码保护是一种用于限制访问访问访问的方法通过要求用户输入密码来数字资产。这通常用于私人或敏感资产。当用户尝试访问资产时，该服务器将提示用户获取密码，并且只有输入正确密码的人才能获得访问。

>

可以一起使用多个资产访问限制方法？ 🎜>是的，可以将多个资产访问限制方法一起使用以提供更高级别的安全性。例如，您可以使用IP封锁来防止特定IP地址访问，然后使用密码保护进一步限制访问对授权用户的访问。

如何在网站上实现资产访问限制方法？ >

>在您的网站上实现资产访问限制方法通常涉及修改服务器的配置文件。确切的过程将取决于您使用的服务器软件以及要实现的特定限制方法。

>

>在资产访问限制方法时，是否有使用资产访问限制方法的缺点？可以提供高水平的安全性，他们还可以阻止合法用户。例如，IP阻止可以阻止使用VPN或代理的用户，而地理障碍可以阻止出国旅行的用户。因此，重要的是在实施这些方法之前仔细考虑对用户的潜在影响。

>

>资产访问限制方法的一些替代方法是什么？

资产访问限制方法的替代方法包括使用内容交付网络（CDN）分配您的资产，使用防火墙保护服务器，或使用提供一系列安全功能的安全插件或服务。这些替代方案可以提供高水平的安全性，而没有资产访问限制方法的潜在缺点。

以上是资产访问限制方法 - 阻止不需要的访客的详细内容。更多信息请关注PHP中文网其他相关文章！