Доступ к изображению только для конкретных сайтов (белый список)

Question

[Вячеслав]

Задача: сделать сервис на подобии habrastorage, но только не отдельным сайтом, а сабдоменом типа (files.site.com).

Пояснение: на самом сайте (site.com) будет так же располагаться другие сервисы типа (news.site.com, blog.site.com и т.п.).

Вопрос: Как и чем лучше организовать доступ к изображениям (загруженных на files.site.com) к другим сервисам и что бы они были доступны только для сайта site.com и его сабдоменов (белый список). Другие ресурсы типа (site2.com, site777.com и т.д.) не могли использовать мои изображения по ссылке, а так же скачивать их.

Пожелание: было бы здорово найти решение на php.

Comments

[Вячеслав]

Update:
После изнурительных тестов .htacces был дописан как следует. В целом получилось все как и должно быть. Нужный нас сайт + его сабдомены могут выдеть изображения, остальные нет. Пример белого списка:

# Защита сайта от вставки изображений с других ресурсов
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?site\.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(files\.)?site\.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(news\.)?site\.com [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule <b>!^</b>.*\.(jpeg|jpg|gif|bmp|png)$ - [F]

!^ - из-за вот этих закорючек я скурил полпачки сигарет и просидел 1,5 часа без настроения! Получайте бесплатно халявщики ))

Answer 1

[nowm]

Если у вас Apache в качестве веб-сервера, можно не нагружать PHP выяснением того, кто откуда пытается загрузить картинку. Ведь в случае PHP вам все-все картинки придётся отдавать PHP-скриптом — это какая-то лишняя нагрузка.

С помощью .htaccess можно сделать примерно такой вариант (файл .htaccess в корне сайта files.domain.com):

RewriteEngine On
RewriteBase /

RewriteCond %{HTTP_REFERER} !domain\.com$ [NC]
RewriteRule .* - [R=404,L]

Я могу ошибаться немного в регулярных выражениях, но суть, я думаю, понятна: проверяем, чтобы строка %{HTTP_REFERER} заканчивалась на «domain.com» (сюда попадут и «domain.com» и «www.domain.com» и «image.domain.com» и «любойподдомен.domain.com»). Если реферер не подходит под это определение, редиректим на страницу 404.

%{HTTP_REFERER} — это содержимое HTTP-заголовка Referer.

С другой стороны, Referer можно легко подделывать с помощью PHP, и злоумышленник может написать на PHP простой прокси, который будет по своим адресам отдавать ваши картинки, отправляя вам легитимное значение поля Referer.

Comments

[Вячеслав]

Я в начале тоже подумал на счет .htaccess, но предыдущий ответчик решил что это не вариант. Сейчас попробую и отпишусь. За ранее спасибо!

Answer 2

[Вячеслав]

Xu4, Спасибо за подсказку, разобрался
www.netangels.ru/support/hosting-howto/htaccess-block

RewriteEngine on
RewriteCond %{HTTP_REFERER} banurl1.ru [NC,OR]
RewriteCond %{HTTP_REFERER} banurl2.ru [NC,OR]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

Comments

[nowm]

Всегда пожалуйста. Правда вы таким образом (как на «netangels») чёрный список создаёте, а не белый.

[Вячеслав]

Смотрите update под моим вопросом, там как раз таки я и создаю "белый список"!

Answer 3

[Сергей Протько]

вам решение нужно на уровне web сервера. в php разве что можете организовать api для работы с вашим микро-cdn-ом.

Comments

[Вячеслав]

.htaccess будет достаточно?

[Сергей Протько]

нет