it-swarm.com.de

Umgehen Sie .htaccess, wenn Sie download_url verwenden

Ich habe die folgende .htaccess-Datei in meinem benutzerdefinierten Verzeichnis in Uploads namens client.

RewriteEngine On
RewriteCond %{HTTP_REFERER} !(www.)?example.co.uk/client-area*
RewriteRule ^.*$ - [R=403,L]
ErrorDocument 403 'http://www.example.co.uk/client-area/'

Wenn also jemand versucht, von einer anderen Stelle als der Clientbereichsseite aus auf eine Datei im Verzeichnis uploads/client/zuzugreifen, wird er umgeleitet.

Ich möchte dies jedoch ignorieren, wenn ich download_url verwende, um auf eine Datei in diesem Verzeichnis zuzugreifen. Gibt es eine Umschreibebedingung, mit der ich dies vereinfachen kann?

3
SinisterBeard

Sie können einen erfundenen Verweis in die HTTP-Anfrage von WordPress einfügen, indem Sie pre_http_request filtern. Alles was Sie brauchen ist eine einfache Klasse wie diese (ungetestet!):

class FakeWpReferer
{
    private $referer;

    private $url;

    private $is_regex;

    /**
     * @param string $referer
     * @param string $url URL to fake the referer for.
     * @param bool   $is_regex Is $url a regular expression?
     */
    public function __construct( $referer, $url, $is_regex = FALSE )
    {
        $this->referer  = $referer;
        $this->url      = $url;
        $this->is_regex = $is_regex;
    }

    /**
     * @wp-hook pre_http_request
     * @param   array $args
     *
     * @return array
     */
    public function inject( array $args, $url )
    {
        if ( $this->match_url( $url ) )
            $args['headers']['Referer'] = $this->referer;

        return $args;
    }

    /**
     * @param string $request_url
     *
     * @return bool
     */
    private function match_url( $request_url )
    {
        if ( ! $this->is_regex )
            return $request_url === $this->url;

        return (bool) preg_match( $this->url, $request_url );
    }
}

Und dann registriere es als Filter:

$fake = new FakeWpReferer(
    'http://example.co.uk/client-area',
    '~^http://www.example.co.uk/uploads/~',
    TRUE
);
add_filter( 'pre_http_request', [ $fake, 'inject' ], 10, 2 );

Dann können Sie download_url() verwenden, und WordPress verwendet Ihren benutzerdefinierten Referer. Seien Sie sich bewusst, dass jeder andere auch Verweise vortäuschen kann, sodass Ihr "Schutz" nicht wirklich einer ist.

1
fuxia