2

Web を検索してきましたが、この特定の問題に対する答えが見つかりません。

IIS Rewrite モジュールを使用して、WOFF ファイルと EOT ファイルへの直接アクセスをブロックし、ホットリンクとフォント ファイルの盗難を防止しています。HTTP_REFERER がサーバー名と一致しない場合、リクエストを拒否することでこれを行っています。

ブロッキングは正常に機能します。ただし、クライアントに返す最も適切な応答コードはどれかについては少しわかりません。

これは、.config、.asax などの制限されたファイル タイプをブロックすることとまったく同じではありません。ブラウザーがこれらのファイルを要求することは完全に合理的で合法であるため、要求が正しく参照されている場合に限ります。

サーバーはリクエストを理解しているため、論理的には403が最も正しい応答であると考えていますが、リクエストの受信方法が原因でコンテンツの提供を拒否しています(直接参照されていません)。

404 に関する私の主な懸念は、ブラウザやプロキシなどが URL が無効であると判断し、リソースに対するそれ以上のリクエストの発行を停止するかどうかです。

特に 403 に関して私が懸念しているもう 1 つの懸念は、一部のブラウザーがこれを誤って解釈し、要求に対してユーザーから追加の認証を取得しようとする可能性があることです。

もう 1 つのオプションは、単純に要求を中止することです。その結果、ソケット接続が切断されます。実行するのは非常に簡単ですが、すべてのクライアントがこれにどのように反応するかはわかりません。たとえば、一部のブラウザーまたは検索エンジンがこれを一時的なネットワーク障害と見なし、リクエストの再発行を試み続けるのではないかと考えています。

基本的に、これらのフォント ファイルに対する正当な要求が常に正しく機能することを保証したいと同時に、(可能な限り) ファイルを誤用から保護したいと考えています。

どんな考えでも大歓迎です。

ありがとう、ユージーン

4

0 に答える 0