保护网站静态资源

Question

如果我有一个只能在登录页面上通过身份验证才能访问的网站，那么未经身份验证的人是否有可能访问静态资产(图像、css、javascript、.)？

我想他们唯一能做到的方法就是以某种方式或以某种方式强制urls，或者知道服务器上的资源已经在哪里了，但我不确定。

Answer 1

这取决于服务器配置。如果您将站点配置为让用户使用服务器本身进行身份验证，那么您可以让服务器使用用户权限，他们将只能访问用户可以访问的资源，并且可以拒绝给未经身份验证的用户。

如果身份验证是在PHP等脚本语言中实现的会话级身份验证，那么服务器将不知道是否应该提供这些资产，应该由您的脚本来决定提供什么服务。如果静态资源仅受未知URL的保护，则仍然可以使用后一种方法访问它们。