Websiteforum.nl 2.0

[Mindstorms]

Beste Wf'ers,

Ik heb het volgende script om deeplinking van mijn downloads tegen te gaan:

Regelnummers Aan/Uit | Uitklappen/Inklappen | Selecteer alles

1. function GetReferer() {
2. $yoursite = "t-tools.nl"; //Your site url without http://
3. $yoursite2 = "www.t-tools.nl"; //Type your domain with www. this time
4.  
5. $referer = $_SERVER['HTTP_REFERER'];
6.  
7. //Check if browser sends referrer url or not
8. if ($referer == "") { //If not, set referrer as your domain
9. $domain = $yoursite;
10. } else {
11. $domain = parse_url($referer); //If yes, parse referrer
12. }
13.  
14. if ($domain['host'] == $yoursite || $domain['host'] == $yoursite2) {
15.  
16.   return true;
17.    
18.     } else {
19.  
20. return false;
21.  
22. }
23. }

Ik krijg echter reacties dat men niet op de download kan klikken. Hebben jullie enig idee hoe dat zou kunnen, of een beter script?


Mindstorms

[Thumbnail]

zalwel aan mij liggen, amar als je nu kijkt is alles een comment

[Mindstorms]

Wf deed ontzettend moeilijk met het plakken van mijn code , maar dit is het.

Het wordt zo aangeroepen:

Regelnummers Aan/Uit | Uitklappen/Inklappen | Selecteer alles

1. if (GetReferer() == false) {//The referrer is not your site, we redirect to your home pageheader("Location: http://www.t-tools.nl/deeplink.php");exit(); //Stop running the script}

[menubalk]

De downloadpagina kun je misschien wel beschermen, maar de directe downloadlinks volgens mij niet.
Daar komt namelijk totaal geen php code aan te pas:

www.website.nl/file.rar

[Mindstorms]

Dat weet ik, maar daar gaat het ook niet om. De download wordt gestart via een kliksysteem waarin hetzelfde refererscript wordt aangeroepen. Je komt dus nooit achter de locatie van het bestand...

[Thumbnail]

(firefox) ctrl+j (downloadvenster openen) -> rechtermuisknop -> downloadlink kopiëren

[rdewit]

Ik denk dat je dan moet denken aan een htaccess die directe toegang blokkeert en dat je alleen kunt downloaden en acces geeft als het script (server IP dus) het bestand aanroept.

[Jasper]

Waarom zou je via een php-script op de server een bestand op diezelfde server via http aan gaan roepen? Dat kun je gewoon intern doen (goede header geven, dan echo file_get_contents("../../downloads/bestand");)
Als je het bestand buiten je public_html zet en je referer-script voor het download-script plakt, is het redelijk waterdicht.

Let wel op dat sommige browsers ingesteld zijn om de referer-tag niet mee te sturen en je hem ook kunt faken!

[matrebatre]

Niet vreemd dat het niet werkt:

Regelnummers Aan/Uit | Uitklappen/Inklappen | Selecteer alles

1. $yoursite = "www.website.nl";
2. // even later
3. $domain = $yoursite;
4. // even later
5. if ($domain['host'] == $yoursite || $domain['host'] == $yoursite2) {
6. // rarara, waarom werkt dit niet?

De oplossing is natuurlijk om lijn 9 te vervangen door return true;.

Maar waarom zo moeilijk? Een paar regels in .htaccess zijn genoeg!

Regelnummers Aan/Uit | Uitklappen/Inklappen | Selecteer alles

1. RewriteEngine On
2.  
3. RewriteCond %{HTTP_REFERER} !^$
4. RewriteCond %{HTTP_REFERER} !^http://www\.mijnwebsite\.nl/
5. RewriteCond %{HTTP_REFERER} !^http://subdomein\.mijnwebsite\.nl/
6. RewriteCond %{HTTP_REFERER} !^http://www\.websiteforum\.nl/
7. RewriteRule ^images/ /no_deeplinking.png [L,NS]
8.  
9. RewriteCond %{HTTP_REFERER} !^$
10. RewriteCond %{HTTP_REFERER} !^http://www\.mijnwebsite\.nl/
11. RewriteRule ^downloads/ /no_deeplinking.htm [L,NS]

Je voegt gewoon een lijst in met toegestane adressen (bijvoorbeeld je eigen website met eventueel subdomeinen, en andere websites zoals fora die wel toegang moeten hebben). De eerste regel is nodig zodat mensen zonder referer (sommige firewalls en/of routers halen die weg) ook toegang krijgen. Daar moet je je niet echt zorgen over maken, als de beveiliging werkt tegen 50% van de bezoekers is dat voor andere webmasters genoeg reden om het niet te doen. Afbeeldingen die je wilt beschermen stuur je door naar een afbeelding (zodat img-tags blijven werken, anders krijg je gewoon een rood kruisje op de vreemde site), de rest gewoon naar een webpagina (bijvoorbeeld de downloadpagina op jouw site). Het leuke is dat hiermee een mooie opvallende "DEEPLINKING IS VERBODEN!!!"-afbeelding verschijnt op de vreemde site .

EDIT: Die code tags mogen wel eens gerepareerd worden .

[Jasper]

Wat is er mis met de code-tags?
Die eerste regel zorgt er trouwens ook voor dat het wel werkt als je de tekst in de adresbalk van de browser plakt en er dan heengaat.

[matrebatre]

Wat is er mis met de code-tags?
Die eerste regel zorgt er trouwens ook voor dat het wel werkt als je de tekst in de adresbalk van de browser plakt en er dan heengaat.

De code-tags verwijderen alle newlines elke keer als ik op 'voorbeeld' klik, wat betekent dat ik voor ik op die knop klik elke keer alles moet selecteren en kopiëren zodat ik het kan plakken op de nieuwe pagina .

Het is toch de bedoeling dat als je de URL intypt dat je het bestand kan downloaden? Als je een URL intypt in de adresbalk is de referer altijd leeg (de referer is namelijk de gebruiker zelf, niet een andere website). Als je echt wilt dat je de downloadlink enkel kan bereiken via de downloadpagina moet je ook nog een soort van downloadticket-systeem maken: Wanneer de gebruiker de pagina bezoekt maak je een entry in een database waarin je het IP van de gebruiker opslaat en een willekeurig getal genereert. Bij de downloadlink geef je dat getal mee. Het download-script zoekt het nummer in de database, en als het bestaat en het IP overeenkomt verwijdert het die entry en start de download. Maar dat lijkt me nogal overdreven .

[Bram]

@ Jasper (off-topic): die code-tag bug loopt al tijden, maar we hebben nog geen flauw idee waar het aan kan liggen. Jij misschien 'n suggestie?