Discussion :

[grinder59]

Bonjour,

j'ai créé un site permettant à des clients de se connecter à leur espace. C'est espace est en fait un dossier dans lequel je mets 2 choses :
- des images JPEG
- des fichiers texte avec liens vers des vidéos youtube

Lorsque le client est identifié, il voit la liste des documents dispo et peux cliquer sur un élément de la liste avec le résultat suivant :
Si c'est une image, elle s'affichage sur l'écran
Si c'est un fichier texte, la vidéo dont elle contient le lien est lue sur le site.

Tout fonctionne bien, mais, bien entendu, je souhaite protéger mes répertoires par un htaccess afin qu'on ne puisse pas venir récupérer les documents sans être identifié.

le htaccess fonctionne bien sauf que les images ne sont pas affichées sur le site. A la place il affiche l'icone de lien brisé.

Voici ce que j'avais mis dans mon htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
Order Deny, Allow 
Deny from mondomaine.com

Comment puis-je faire pour que les images soient également affichées malgré le htaccess ?

Merci de votre aide !

[_Mac_]

Tu veux dire quoi avec ton Deny from mondomaine.com ?

Tu peux donner le .htaccess complet sinon ? En l'état, je ne comprends pas comment la protection peut fonctionner : tout devrait être accessible tout le temps.

Pour info, il ne faut pas d'espace après la virgule dans la directive Order.

[grinder59]

En fait, je me suis planté, c'était Allow from mondomaine.com.

j'ai fait d'autres tentatives, mais sans résultat. Les photos ne s'affichent toujours pas.

Voici mon htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
ErrorDocument 403 http://www.mondomaine.com/
 
Options -Indexes
 
<FilesMatch "\.(txt|jpg|jpeg)$">
    Order allow,deny
    Deny from all
    Allow from www.mondomaine.com
    Satisfy All
</FilesMatch>

Le truc c'est que les images situées dans les autres répertoires (un niveau plus haut) s'affichent correctement ! Que n'ai-je pas compris ?

Je précise que les documents sont affichés en Ajax. Une fonction JS appelle un script php qui luit renvoie le chemin du fichier à afficher et le JS l'afiche. Peut être cela a-t-il un lien...

merci de ton aide !

[_Mac_]

Y a un truc que je ne comprends pas : tu parles d'authentification dans ton premier message mais ton .htaccess ne contient rien en rapport avec une quelconque authentification. Est-ce que tu peux détailler encore un peu ton besoin par rapport à cette authentification ?

Sinon, pour info, Allow from www.mondomaine.com autorise les clients (= les navigateurs) dont l'IP correspond au nom www.mondomaine.com. Clairement, ce n'est jamais le cas, d'où l'impossibilité de voir les images.

Au final, j'ai l'impression que tu cherches à faire de la protection contre le hotlinking mais je ne suis pas bien sûr

[grinder59]

Merci de ta réponse et désolé d'être aussi peu clair...

En effet, l'authentification est "maison" et ne passe pas par le htaccess.

Dans mon dossier clients, j'ai
- Dossier_Client1

- image1
- image2
- video1
- video2

- Dossier_Client2

- image3
- image4
- video3
- video4

et mon but est déviter que Client1 n'accède directement à image3, image4, video3 et video4 (et réciproquement pour Client2) en saisissant directement l'url de ces fichiers dans son navigateur...

Alors certes, client 1 ne connaîtra pas les urls directes d'accès aux fichiers, mais pour éviter le crawl par robot, je voudrais mettre en place cette impossibilité...

Est-ce possible ?

PS : merci pour l'info sur allow, je n'avais effectivement pas compris son fonctionnement

[_Mac_]

Comme je disais, tente une protection du type hot linking :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<FilesMatch "\.(txt|jpg|jpeg)$">
    RewriteCond %{HTTP_REFERER} !/Dossier_Client1/
    RewriteRule .* - [F]
</FilesMatch>

A mettre dans le .htaccess de Dossier_Client1. Un truc identique pour les autres répertoires.
Mais c'est une protection de façade, c'est contournable en forgeant les entêtes HTTP. L'idéal c'est de passer toutes les requêtes vers les images vers un script ou une "page" ou servlet (selon la techno de ton site) qui va vraiment vérifier l'authentification du visiteur et vraiment renvoyer le fichier demandé que si l'accès est autorisé.