我需要确保当引用者来自远程域时,无法登录 Drupal 的用户登录表单。这是一个影响企业接受度的安全漏洞。
当前在 .htaccess 末尾有一条规则要求 https 访问
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
我查看了这个以了解该规则如何识别 url,但不知道我将如何采用它并使用引用者实现它,而不影响 https 的其他规则
问问题
628 次
1 回答
1
# if referer not empty
RewriteCond %{HTTP_REFERER} !^$
# and referer doesn't contain domain.com
RewriteCond %{HTTP_REFERER} !domain\.com
# and it is a POST request
RewriteCond %{REQUEST_METHOD} POST [NC]
# than redirect to current url to remove the POST data and show the default login screen
RewriteRule ^(user)$ /$1 [R=302,L]
于 2012-06-22T12:15:41.513 回答