Как запретить пользователю доступ к php,json файлам через .htaccess, чтобы работали ajax запросы?

Question

[Let_peace]

Я гуглил, но каждый ответ кардинально отличается от предыдущего, поэтому никак не могу разобраться с этим.

Есть некоторые php и json файлы, которые должны быть не доступными для пользователя (переход по прямой ссылке, например, http::/site.ru/file.php ) , но в то же время они должны принимать ajax запросы от скрипта js (в частности $.post ).

Пробовал создавать отдельную папку для "недопустимых" файлов и кидать туда .htaccess:

<FilesMatch ~ "\.(php|htm|html|json)$">
  Order allow,deny
  Deny from all
</FilesMatch>

Но при обращении ajax запроса к необходимым файлам вылетала 500 ошибка.

Подскажите, пожалуйста, как правильно это реализовать именно через .htaccess?

Answer 1

[Иван Шумов]

На самом деле никак. Пользователь это браузер, браузер должен через Ajax обращаться к скрипту. Ajax это по сути и есть прямой запрос. Можно поиграться с CORS, но результата будет ноль ибо он не спасет от такого.

Стоит подумать какую проблему вы пытаетесь решить этим. Что это за скрипт и почему надо его ограничить?

Comments

[Let_peace]

у меня есть корзина, которая при нажатии кнопки submit собирает все необходимые данные о товарах в JS скрипте, а этот скрипт потом эти данные отправляет на php файл с помощью $.post("./mail_send.php", {"tovari" : massiv_tovarov}, function(data){ /*...*/} );. этот php файл собирает письмо для пользователя ($tovari = $_POST['tovari'];) и отправляет его на его почту.
так вот если в адресной строке браузера вбить прямой адрес к этому файлу, то mail_send.php собирает письмо (оно получается пустым, т.к. в $_POST['tovari'] ничего нет) и отправляет эту пустышку клиенту.
Конечно, можно проверять в mail_send.php , пустая ли перменная $tovari, но описанная проблема лишь часть моей общей проблемы. Поэтому я ищу способ, как решить это максимально корректно

[Иван Шумов]

Let_peace,

Конечно, можно проверять в mail_send.php , пустая ли перменная $tovari

ну, во-первых не можно, а НУЖНО.

А теперь давайте об интересном. Проблема в итоге заключается в том чтобы обезопасить клиента от лишнего спама. Спам достигается в данном случае по 2м причинам :

1. не валидированный email
   
2. злонамеренный циклический запрос на отправку письма
   

Как с этим бороться?

Конечно, надо валидировать любую почту на которую отправляется email.
Если под клиентом подразумевается человек, который собирал корзину то отвалидированный email, а лучше наличие аккаунта полностью решает проблему. Ну и можно добавить отправку не сразу, а по расписанию. Даже раз в минуту отправка позволит проверить сколько там писем должно уйти человеку

[Let_peace]

Иван Шумов, насчет этого понял, спасибо. Но это решение только насчет

злонамеренный циклический запрос на отправку письма

.
Но также по прямой ссылке пользователь может увидеть json файл (в этом и состоял собственно мой вопрос), который ему нельзя видеть. Как поступить здесь?

[Иван Шумов]

Let_peace, что в этом json такого страшного что пользователь не должен видеть?

Answer 2

[nokimaro]

.htaccess

SetEnvIfNoCase X-Requested-With XMLHttpRequest ajax
Order Deny,Allow
Deny from all
Allow from env=ajax

и закинуть это в отдельную папку типа /ajax/ вместе с теми скриптами и файлами к которым доступ разрешён только посредством XHR-запросов

Comments

[FanatPHP]

не позорься
почитай ответ Ивана Шумова
он, в отличие от тебя, в данном случае подумал перед тем как отвечать

[nokimaro]

FanatPHP, речь же не о 100% защите, а о том чтобы усложнить жизнь юным исследователям. При всех ajax-запросах современные браузеры передают хидер X-Requested-With по наличию которого можно понять пришёл запрос через js+xhr или кто-то просто пытается открыть endpoint в браузере.
Естественно это никакая не 100% защита и не панацея, так как при желании любые заголовки можно подделать.

[nokimaro]

FanatPHP, а так это стандартная практика, проверка заголовка X-Requested-With для того чтобы отделить ajax-запросы от обычных

https://github.com/symfony/symfony/blob/24af7dfb08...

[FanatPHP]

ты не понимаешь разницу между "отличить" и "запретить"?
мне тебя жаль

[nokimaro]

FanatPHP, если ты можешь "отличить" то можешь и повесить любые запреты уже согласно этим различиям.
В вопросе речь про то, как сделать так чтобы при отправке ajax запроса на урл доступ был, а если этот же урл ввести в адресную строку то доступа небыло.
Мой ответ решает ровно эту задачу.

А отличить+запретить на РНР выглядит так

<?php
if(!isset($_SERVER['X_REQUESTED_WITH']) || $_SERVER['X_REQUESTED_WITH'] != 'XMLHttpRequest')
{
    http_response_code(403);
    exit;    
}

//ниже код который будет отработан только при ajax запросе

[FanatPHP]

если ты можешь "отличить" то можешь и повесить любые запреты

у тебя с логикой совсем беда

в общем, пока ты писал неработающее решение для несуществующей проблемы, это было ещё нормально, тут таких помогаек орды бегают, на их фоне ты ничем не выделялся
но когда начал оправдываться, то уже всё, туши свет.

[nokimaro]

FanatPHP, я думал тостер как-раз для того чтобы помогать людям решать проблемы. Но у тебя видимо своё мнение на этот счёт, и тостер для тебя это место для написания бессмысленных и оскорбительных комментов.
Удивительно что ты сразу не зашёл со своего козырного "сотри ответ", а ограничился лишь "не позорься"


что-то Модератор сильно добрый в последнее время

[FanatPHP]

и тостер для тебя это место для написания бессмысленных и оскорбительных комментов.

дада, и эта твоя реплика - просто верх логики и наблюдательности :)