0

リファラーがリモートドメインからのものである場合、Drupalのユーザーログインフォームにサインインできないようにする必要があります。これは、企業の受け入れに影響を与えるセキュリティの脆弱性です。

パスは次のとおりです:https ://domain.com/user

現在、.htaccessの最後にhttpsアクセスを要求するルールがあります

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

ルールがURLをどのように識別するかを確認するためにこれを調べましたが、それをどのように取得してリファラーで実装し、httpsの他のルールに影響を与えないかわかりません。

4

1 に答える 1

1 
# if referer not empty
RewriteCond %{HTTP_REFERER} !^$
# and referer doesn't contain domain.com
RewriteCond %{HTTP_REFERER} !domain\.com
# and it is a POST request
RewriteCond %{REQUEST_METHOD} POST [NC]
# than redirect to current url to remove the POST data and show the default login screen
RewriteRule ^(user)$ /$1 [R=302,L]
于 2012-06-22T12:15:41.513 に答える