我不知道我必须做什么才能解决这个问题,在搜索这个网站后,看起来我可以在这里得到答案。
我正在一个客户的网站上工作。他是一名营销人员,他有数字产品,他允许免费下载其中一些产品。
在他们点击下载后,我会向他们发送一封电子邮件,其中包含下载链接。
我的问题是:如何加密此链接以使文件位置保持隐藏状态?这些文件通常是视频、mp3 或 pdf 格式。
如果文件仅通过不公开其URL来保护文件,则这不是良好的安全实践(通过隐蔽性进行安全性),尤其是在启用了目录浏览的情况下。但是,您可能没有选择重新设计他们的网站。
最好的方法是向他们颁发某种形式的令牌或用户名,这些令牌或用户名由Web服务器验证,如果成功,则开始下载。一些注意事项:
- 这些令牌(有效的密码)应该是随机生成的(例如通过加密标准随机数生成器)。
- 令牌的哈希存储在服务器上(例如使用 PBKDF2)。
- 令牌应超时。请记住,发送给客户的电子邮件未加密,可能会被许多人拦截或查看。同样,除非通过 SSL 访问站点,否则它们也会以未加密的方式发送到站点。
您无法加密 HTML 链接。根据定义,浏览器需要知道将用户单击链接发送到何处。即使您确实混淆了HTML中的链接,初级安全分析师也可以使用诸如Paros之类的代理绕过此"安全"机制。
您需要做的是在授权用户查看资源(下载客户端文件)之前对客户端站点的用户进行身份验证。以编程方式限制用户仅查看/下载应允许他们访问的内容。