我有自己的服务器,并尽可能为游戏社区做所有事情(为了降低开销)。 这包括自己使用WAMP和Windows 10托管网站。假设我有一个域。我正在使用 REST 服务器进行 ..东西。我需要通过Web控制面板提供对REST服务器的访问,该面板使用大量复杂的PHP和Javascript噪音来工作。运行它的唯一方法是通过服务器(显然),这意味着它需要自己的虚拟主机来运行(我认为。如果我只使用 PHP 包含,它不起作用)。所以我创建了一个子域(rest.domain.com)并将其插入到iframe的src中,我将其放在受密码保护的网页上。我现在面临的唯一问题是任何人都可以去 rest.domain.com,绕过微不足道的Wordpress安全性并弄乱我的东西。
我对其中任何一个都持开放态度
- 阻止直接URL访问并包含一些花哨的代码,因此只有iFrame可以访问它。
- 对子域进行密码,并仅向我的 REST 用户提供 rest.domain.com URL。 我不知道
- 存在完全不同的东西。
我该怎么办?
编辑:1
因此,我们已经到了使用 .htaccess 文件来限制具有登录名/密码的子域的地步。 我已经在 REST 文件的目录中创建了 .htaccess 文件,并创建了一个 .htpasswd 文件。
我现在收到 500ISE 错误。 我已经浏览了 3 个 Google 搜索页面,试图研究这个问题,并对我的 .htaccess 文件进行了数十次编辑以使其正常工作。 没有 htaccess,可以不受限制地访问 REST 服务器。 错误位于 .htaccess 文件中。 这是我的.htaccess文件在晚上放弃这个时的样子:
弄乱了几个小时,已经关闭了 3 个 Google 页面,打开并研究了每一个点击(大多数都在 SO 上),但仍然停留在 500 内部服务器错误上。 这就是我现在坐着我的htaccess文件的地方,这是我晚上放弃的地方:
AuthType Basic
AuthName "Locked"
AuthUserFile o:.........htpasswd
Require valid-user
SetEnvIf Host rest.domain.com !secure_content
Order Allow,Deny
Allow env secure_content
Deny From All
Satisfy Any
编辑:1.1
所以,与其放弃(因为我不是没有放弃!我开始注意到其他一些网站的趋势,即使用比我最初发现的"教学"复杂得多的.htaccess。 我继续注释掉以下行:
#SetEnvIf Host rest.radio-takeover.com !secure_content
#Order Allow,Deny
#Allow env secure_content
#Deny From All
#Satisfy Any
它现在似乎正在按预期工作。 谢谢你,珍妮,为我指明了正确的道路。
iframe源页面可以通过PHP重定向轻松保护。这样,如果用户登录iframe将显示。直接访问 iframe 将显示禁止。还要检查 laravel 中间件身份验证检查以及角色和权限。
如果这不是你问的,那么这是另一种选择。
在 rest.domain.com 的根文件夹中创建一个.htaccess文件,并在其中写入"拒绝所有人"。希望你能得到你需要的。