我会考虑使用PHP加载程序来处理身份验证,然后返回所需的文件。例如,
<img src='picture.jpg' />不要做类似的事情
<imgsrc='https://www.mshxw.com/skin/sinaskin/image/nopic.gif' />。
您的图像加载器可以验证会话,检查凭据等,然后决定是否将请求的文件返回到浏览器。这将使您可以将所有安全文件存储在Web可访问的根目录之外,因此没有人会仅WGET文件或“意外”浏览那里。
只要记住要在PHP中返回正确的标头,并在php中执行类似readfile()的操作,这会将文件内容返回给浏览器。
我已经在几个大型安全网站上使用了此设置,它的工作原理就像一个魅力。
编辑:我当前正在构建的系统使用此方法来加载Javascript,图像和视频,但是我们对安全性不是很担心。
