我正在使用Windows应用程序,该应用程序通过“ domain.com/sub/txtfile”中的Web请求从txt文件中读取“授权”域列表
我不希望人们在直接在浏览器中输入文件时看到文件的内容。是否可以通过某些.htaccess骇客或其他方式实现这一目标?
答案 0 :(得分:0)
由于您的应用是客户端本地Windows应用,因此无法在应用本身中存储任何可用于身份验证的秘密。由于用户拥有Windows应用程序可能拥有的所有内容,因此无法像这里多次讨论的那样对客户端进行身份验证。
这也没有多大意义。想象一下这是有可能的,并且文件内容仅对您的应用可见。目的是什么?如果攻击者更改了Windows上的主机文件以从恶意服务器下载文件怎么办?如果他使用中间代理来检查,更改或替换内容该怎么办?后者也可以通过https使用,因为用户可以完全控制客户端,并且可以信任他想要的任何证书。
但是您可以验证用户身份。攻击者仍然可以查看和修改下载的文件内容,但至少没有人可以下载文件,只有经过身份验证的用户才能下载。但这意味着要有一个用户数据库,从中可以下载文件并实施正确的身份验证。而且仍然无法解决其他问题。
简而言之,您无法从控制整个客户端的用户那里保护客户端应用程序。