Zabezpečení nahraných souborů

před 6 měsíci

kleinpetr
Backer | 481
+
0
-

Zdravím,

chtěl jsem se zeptat jaká je nejjednodušší cesta k zabezpečení nahraných souborů. Jde mi o to, že vše je ve složce www/upload tudíž je přístupná i bez session identity, jak docílit toho abych mohl zautorizovat cílový soubor?

Napadlo mě udělat zvlášť metodu, která zautorizuje požadavek a případně vrátí FileResponse. Jak bych měl upravit práva složky aby se do složky dalo uploadovat ale aby soubor nešel zobrazit pokud si jej nevytáhnu v php?

Zkoušel jsem práva 773 -R pro složku upload, ale to jde nahrávat i zobrazovat, tak jsem zkusil 772, a to nejde zobrazovat, ale ani nahrávat. Dá se to nějak vyřešit na straně práv nebo budu muset napsat pravidlo někde v nginx hostu?

Díky za rady.

před 6 měsíci

Pavel Kravčík
Člen | 961
+
+3
-

Nejvíc triviální je to nedávat do www a zpřístupnit pouze přes aplikaci.

před 6 měsíci

Honza Kuchař
Backer | 1650
+
0
-

Jak píše Pavel: použít FileResponse, CallbackResponse nebo FileDownloader pro low-traffic applikace, X-Sendfile s delegací na reverzní proxy na hi-traffic aplikace

Editoval Honza Kuchař (19. 9. 2018 13:25)

před 6 měsíci

kleinpetr
Backer | 481
+
0
-

Diky za tipy, no jiste ze me napadlo to vyhodit ze lozky www, upload asi projde v pohode, ale jak pak zobrazim thumbs napriklad u obrazku?

To bych musel jako src atribut volat ten vlastni source, ktery vrati fileResponse nebo se pletu?

před 6 měsíci

kleinpetr
Backer | 481
+
0
-

Netusite zda se da FileResponsu nejak nastavit title? Nemyslim nazev souboru po stazeni, ale napriklad kdyz mam image/jpeg nebo application/pdf v rezimu INLINE, tak bych rad upravil title stranky a pripadne pdf title.

Diky