Безопасный аналог HTTP_REFERER

@Retrill · Регистрация: 01.02.2011

Студворк — интернет-сервис помощи студентам

Всем доброго времени!
Возникла задача следующего рода. На сайте имеется хранилище нетекстовых файлов (допустим, архивы, аудио или видео). Оно лежит выше DOCUMENT_ROOT, поэтому недоступно по прямому обращению через http. Имеется php-скрипт (например, get.php), к которому идет обращение через http. Ему передается ID файла. Скрипт проверяет, можно ли отдать данному пользователю этот файл. Если можно, то формирует заголовки, прочитывает файл и отдает его браузеру в двоичном виде.

Теперь самое главное. В личном кабинете пользователя может быть что-то вроде видео- или аудиоплеера, который воспроизводит файлы из этого хранилища, обращаясь к ним по URL. Т.е. плеер напрямую забирает файл из get.php, а проверка идет внутри get.php.
Нужно запретить прямой доступ к get.php, чтобы пользователь не мог просто взять и скачать файл, введя в браузер что-то вроде http//site.ru/get.php?file_id=137&user_id=15
Первое, что приходит в голову, это смотреть $_SERVER['HTTP_REFERER']. Если он есть, и значение в нем содежит site.ru, то отдавать файл, а нет - так нет. Но это легко подделать. Существует ли более надежный способ?

@OnYourLips · 27.04.2014, 15:37

Отдавать файлы через X-accel http://wiki.nginx.org/X-accel

@Retrill · 27.04.2014, 18:24 **[ТС]**

Поправьте, если я неправильно понял, но этот nginx-овский модуль сможет дать доступ к файлам из директорий, недоступных по http. А мне как раз-таки нужно запретить прямой доступ к файлу, но разрешить, если он запрошен JavaScript'ом с моего же сайта.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .
SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .	SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .

@Retrill 0 / 0 / 0 Регистрация: 01.02.2011 Сообщений: 23

	Безопасный аналог HTTP_REFERER 27.04.2014, 13:42. Показов 1656. Ответов 2 Метки нет (Все метки) Всем доброго времени! Возникла задача следующего рода. На сайте имеется хранилище нетекстовых файлов (допустим, архивы, аудио или видео). Оно лежит выше DOCUMENT_ROOT, поэтому недоступно по прямому обращению через http. Имеется php-скрипт (например, get.php), к которому идет обращение через http. Ему передается ID файла. Скрипт проверяет, можно ли отдать данному пользователю этот файл. Если можно, то формирует заголовки, прочитывает файл и отдает его браузеру в двоичном виде. Теперь самое главное. В личном кабинете пользователя может быть что-то вроде видео- или аудиоплеера, который воспроизводит файлы из этого хранилища, обращаясь к ним по URL. Т.е. плеер напрямую забирает файл из get.php, а проверка идет внутри get.php. Нужно запретить прямой доступ к get.php, чтобы пользователь не мог просто взять и скачать файл, введя в браузер что-то вроде http//site.ru/get.php?file_id=137&user_id=15 Первое, что приходит в голову, это смотреть $_SERVER['HTTP_REFERER']. Если он есть, и значение в нем содежит site.ru, то отдавать файл, а нет - так нет. Но это легко подделать. Существует ли более надежный способ? 0

@OnYourLips 508 / 358 / 13 Регистрация: 12.03.2012 Сообщений: 1,896
	27.04.2014, 15:37
	Отдавать файлы через X-accel http://wiki.nginx.org/X-accel 0

@Retrill 0 / 0 / 0 Регистрация: 01.02.2011 Сообщений: 23
	27.04.2014, 18:24 [ТС]
	Поправьте, если я неправильно понял, но этот nginx-овский модуль сможет дать доступ к файлам из директорий, недоступных по http. А мне как раз-таки нужно запретить прямой доступ к файлу, но разрешить, если он запрошен JavaScript'ом с моего же сайта. 0