Discussion :

[Mhira]

Bonjour

Je souhaite limiter l'accès à certains documents PDF de mon site via un fichier .htaccess.
Pour cela j'ai créé un répertoire privé que l'on nommera privé:

J'y ai ensuite inséré le code suivant afin qu'il ne soient accessible que en cliquant sur un lien venant de mon site:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
Options None
Options +FollowSymLinks
SetEnvIfNoCase Referer "^http://monsite.com/" acces_local=1
<FilesMatch ".(pdf|doc|docx|xls|xlsx|xlsm|ppt|pptx|txt)">
Deny from all
Allow from env=acces_local
</FilesMatch>

Cela fonctionne très bien sauf bien sur sous Internet Explorer(8).
Sous IE les PDF commencent à se charger mais ils s’arrêtent tous à peu près à 750Kb.
Sur un autre environnement le problème est le même sauf que la limite est différente.

Merci d'avance pour votre aide

[Lcf.vs]

'lut...

Il n'existe pas de réel moyen d'empêcher cela, à ma connaissance...

Le Referer est manipulable.

Les seules solutions qui peuvent te permettre d'avoir un certain contrôle se feraient via PHP, en utilisant un token, par exemple, et/ou en forçant à être identifié et mettre un compteur (interne) de téléchargement pour chaque ressource.

Ainsi, tu pourras désactiver les comptes ayant un nombre de téléchargements anormal.

[Mhira]

Salut et merci d'avoir répondu.

Le but n'est pas d’empêcher de multiples téléchargements mais simplement d’empêcher l'accès à ces documents si l'on est pas sur le site.

En gros le même principe que dans la FAQ : FAQ

[Lcf.vs]

Comme je disais, c'est facilement contournable...

[Marc3001]

Effectivement le referer étant juste un champ dans l'entête HTTP, on peux y mettre à peu près ce qu'on veux.....

Pourquoi ne pas créer une page (PHP, PYTHON,...) qui prendrait en paramètre le nom du fichier PDF et si l'utilisateur est authentifié, la restitue ?