我一直在网上搜索,但找不到这个具体问题的答案。
我正在使用IIS Rewrite模块来阻止对WOFF和EOT文件的直接访问,以阻止热链接和字体文件被盗。我这样做是通过在HTTP_REFERER与服务器名称不匹配时拒绝请求。
阻止工作正常。但是我有点不确定哪个是最适合返回客户端的响应代码。
这与阻止受限制的文件类型(如.config,.asax等)不完全相同。因为浏览器请求这些文件是完全合理合法的,但只有在请求被正确引用时才是合理的。 / p>
逻辑上我认为403是最正确的响应,因为服务器理解请求,但由于收到请求的方式(直接未提及),它拒绝提供内容。
我主要关注404的是,如果浏览器或代理等可能确定该URL无效,并停止发出对该资源的进一步请求。
我特别关注403的一个问题是,如果某些浏览器可能会错误地解释这个问题并尝试从用户那里获取请求的其他身份验证。
另一种选择是简单地中止请求,这会导致套接字连接被丢弃。虽然做起来非常简单,但我不知道所有客户如何回应这个问题。例如,我想知道某些浏览器或搜索引擎是否会将此视为临时网络故障,因此不断尝试重新发出请求。
基本上我想确保对这些字体文件的合法请求始终正常工作,同时(尽可能)保护文件不被误用。
任何想法都会非常感激。
谢谢, 尤金