我需要确保当引荐来自远程域时,无法登录Drupal的用户登录表单。这是一个影响企业接受的安全漏洞。
目前,.htaccess的末尾有一条规则要求https访问
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
我查看了这个,看看规则如何识别网址,但不知道我会如何接受并使用引荐来实现它,而不会影响https的其他规则
答案 0 :(得分:1)
# if referer not empty
RewriteCond %{HTTP_REFERER} !^$
# and referer doesn't contain domain.com
RewriteCond %{HTTP_REFERER} !domain\.com
# and it is a POST request
RewriteCond %{REQUEST_METHOD} POST [NC]
# than redirect to current url to remove the POST data and show the default login screen
RewriteRule ^(user)$ /$1 [R=302,L]