防止使用浏览器URL直接访问图像

Question

我有一个名为-Images的文件夹。 此文件夹包含用户个人资料图片。 现在，用户可以随时通过将图像URL复制到浏览器来查看其图像。 这样，他还可以查看其他用户的个人资料照片。 我想要实现的是-用户应该只能通过我网站上的PHP页面看到其个人资料图片。 如果用户直接放置图像URL，则不应显示它。

我尝试使用.htaccess实现此目的。 这是我在.htaccess文件中的内容：

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mysite.com/
RewriteRule \.(gif|jpg)$ http://www.mysite.com/errorpost.jpg [R,L]

我是.htaccess的新手。 如果有办法实现这一目标，请帮忙。

提前致谢。

Answer 1

我也有同样的问题。 目前，我发现了两种方法：

1）base64_encode（）+ ajax + js / jquery

• 将base64_encode（）编码的每个图像存储在二进制文件或数据库OUTSIDE www文件夹中。
• 使用ajax获取该数据。 它应该返回“ data：image / jpeg; base64，$ enc_imgbinary”
• 使用js / jquery将'img'属性的'src'替换为返回结果

优点

• 无法通过直接链接访问图像

缺点

• 我没有找到类似的视频解决方案。
• 图像应事先编码（或首次使用），以最大程度地减少服务器CPU使用率。
• 编码的图像占用磁盘大约30％以上的空间=> 1.3倍磁盘空间
• 如果要将原始图像保留在服务器上=> 2.3x磁盘空间。
• 将通过网络发送约30％的数据

2）长随机名称（+符号链接）

A）使用随机名称将图像存储在www文件夹中
B）将图像存储在带有www文件夹符号链接的www文件夹之外。 （www之外的图像也可以用作您的桌面图像备份）

笔记：

• 文件夹还必须包含随机符号
• 采用 '。' 在任何文件夹或文件名之前=>以防万一，以防止在未配置的apache上显示文件夹内容
• 配置apache以在情况B中遵循符号链接）（将FlowSymlinks添加到httpd.conf）
• 配置apache以防止列出文件夹内容（从httpd.conf删除索引）

• 图像层次结构示例：

  • 万维网
    • .media_jmdue7jed
      • .user1_hash_！sdfsewewfsdfsds
        • .album1_name_！jfie8e7y77667fef
          • .photo1_name_！kjio9i890v8fsd978fyreshf
          • .photo2_name_！09098dfuujdsif87s7ysdffd
          • ...
        • .album2_name_！ghhyuflp！huidfjh
          • .photo1_name_！feojihudhufuuhfrufhi8484
          • .photo2_name_！2344gfdgfdgdfefedw232sdg
          • ...
      • .user1_hash_！j333re89dsfdsf
        • ...

优点：

• 也可以用于视频
• 通过使用长随机名称创建指向www文件夹的符号链接，您仍然可以将具有原始名称的原始图像保留在www文件夹之外。 每个用户甚至都不同。
• 图片可以在服务器外部使用（在论坛中，可以将直接链接直接发送给您的朋友或类似人）

缺点

• 必须预先创建符号链接（或动态创建）
• 可以通过直接链接访问图像
  • 但是几乎不可能猜到它
  • 您也可以定期更改符号链接随机名称或更改图像版权（我要求google +这样做）
• 映射原始名称→长随机名称应存储在db（或边卡/元文件）中
  • （如果通过编码/解码或通过组合原始名称+长随机名称来将原始名称保留在长随机名称内，则可以绕过该路径）

====================================

我已经实现了案例1），对我来说很好用，但是我没有找到类似的HTML5视频解决方案。

情况2）似乎更灵活。 但是我仍然不确定安全性。 如果有人看到安全漏洞，请告诉我。