htaccess - 阻止用戶訪問 php 文件，同時允許 javascript 訪問

Question

在我網站的主文件夾中，我編寫了幾個 php 文件，這些文件用於 javascript 執行 AJAX。 因此，用戶不應該能夠訪問那些 php 文件。

為此，我創建了以下.htaccess文件

DirectoryIndex test.php
<Files "database.ini">  
Order Allow,Deny
Deny from all
</Files>

<Files "*.php">
require all denied
require host xxx.com # website address
require ip xxx.xxx.xxx.xxx # server ip
</Files>

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^(.*)$ $1.php [L]

</IfModule>

但是，當我嘗試運行我的網站時，它告訴我服務器無法訪問控制台中顯示的錯誤消息中的 php 文件。 如果我刪除<Files "*.php>塊，一切正常，但這意味着每個人都可以訪問 php 文件。

我不確定我在哪里做錯了。 我對語法不是很熟悉，所以我只是想按照我在網上找到的資源。

Answer 1

由於 JavaScript 在用戶瀏覽器中運行，因此無法限制用戶直接打開同一資源。

如果用戶瀏覽器中的 JavaScript 可以讀取資源，那么用戶也可以。

采取的任何措施充其量都是隱蔽的安全性，例如限制 HTTP 方法或引薦來源等。 JavaScript 的調用在瀏覽器調試中始終可見，並且可以檢查生成的查詢和內容。