認証されたユーザーにさまざまな形式 (PDF、MP3、MP4 など) のコンテンツへのアクセスを許可するサイトがあります。このサイトは、サードパーティの開発者によって LAMP で開発されました。ユーザーは、MySQL DB に保存されているユーザー名/パスワードを使用して、アプリケーションで認証を行います。それらは、Apache、MySQL、またはその他のメカニズムで認証されません。
最近、サイトの侵入テストにより、いくつかの明らかな脆弱性が特定されました。頭を悩ませているのは、javascript ファイルをダウンロードするための認証の要件です。アプリケーションを実行するには、ブラウザーがこの JS コンテンツにアクセスする必要があることは明らかです。これは、少なくともいくつかのファイルを公開することを意味します。
私の質問は次のとおりです。アプリケーションにログインしていないユーザーが特定のファイルにアクセスできないようにする方法はありますか?
.htaccessコンテンツ ファイルに推奨されるバージョンのようなソリューションを見てきました。例えば
Options +FollowSymLinks
RewriteEngine on
RewriteRule ^(.*)$ ../authorize.php?file=$1 [NC]
JS コードを public/private フォルダーに分割した場合、java-script を単に大規模に含めるのではなく、この方法で提供する方法はありますか? これはJavaScriptで機能しますか?
ありがとう