Forum Clubic

Fichier .htaccess Comment rejeter referer hormis ceux de ma liste. merci

Je voudrais rejeter les iframes pour un sous-dossier de mon site destiné à des sites amis uniquement, et donc rejeter tous les autres sites, hormis ceux dans la liste du fichier .htaccess…

J’ai essayé avec ceci :

RewriteCond %{HTTP_REFERER}

Je pense que c’est lié, mais je n’y arrive pas, si quelqu’un à une idée, merci.

En gros :

Autoriser :
www.google.fr
www.clubic.com

refuser tout le reste

GI.PN4

J’ai trouvé, si ça peut aider quelqu’un…

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_REFERER} !^http://www.mon-site1.com/ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.mon-site2.com/ [NC]
RewriteRule ^.*$ www.mon-site.com… [R=301,L]

les lignes 3 et 4 (RewriteCond) autorisent les serveurs dits sécurisés à accéder… tous les autres sites sont rejetés.

GI.PN4

Pour Apache

je te conseille de lire ceci :

www.commentcamarche.net…

a+
Edité le 25/02/2009 à 20:17

Merci :slight_smile:

Pense quand même à autoriser ceux qui n’ont pas de referer à le faire, c’est pas systématiquement rempli tout ça

En fait c’est pour un outil que je développe et dont on veut restreindre l’utilisation sur des sites en vrac car il permet de calculer les devis pour un client, et avant on à eu des petits malins qui se sont amusés à nous poster 100000 messages de devis bidons par un script avec de faux liens et des IP exotiques… je pense que ça devait être un robot programmé pour.

Je refuse donc les sites ne faisant pas partie de la liste, qui eux ont tous un http réferrer et une Ip fixe que je connais… au pire…

Mais bon, je voulais quelque chose de rapide sans développer des codes cryptés transmis par les sites qui font appel à l’API.

Merci en tout cas de ton conseil.

Mais ton client peut tout simplement ne pas présenter le referer. Même pour des raisons de sécurité il peut être supprimé (= traçabilité des actions de l’utilisateur = mal). Tu devrais au moins en faire une explication courte, et ne pas oublier qu’on peut aussi forger des referers de la même façon qu’on t’as envoyé un lien automatisant tes procédures. Moralité, celui qui veut, pourra toujours.

Tu n’es pas forcé de passer par du cryptage (puis dans une iframe, je ne sais pas ce que cela donne), tu peux ajouter un captcha pour bloquer au maximum les robots. Tu peux aussi utiliser les sessions si tu fais du php, etc.

en fait je déverloppe tout en PERL (CGI), le réferrer c’est pour la provenance du serveur qui exécute le script, vu que logiquement je gère tous ces serveurs il ne devrait pas y avoir de problèmes, j’ai d’ailleurs fait des tests, et tout passe bien.

Le problème est le suivant, ce sera un super outil pour avoir un devis gratuit et mon client paye des adwords dans ce but, il n’y à aucune obligation, mais si tu veux quelque parti il voudrait bien savoir ce que lui coutent une demande de devis et à combien lui revient un prospect actif.

Le problème est que si le système est utilisé sur des dizaines de sites y compris concurrents, alors sa base va exploser pour rien et fausser totalement ses statistiques…

Voilà je voudrais juste limiter un peu, le pb des sessions, dans les iframe, c’est pas bon…

Le soft pourra être exécuté de pluslierus manières, donc les iframes sur les sites externes, en accès direct sur les sites de mon client, et avec une API fournie pour ses partenaires, les iframes sont surtout pour ses distributeurs qui ont généralement des sites web mais ne connaissent rien au développement, et il faut intégrer le produit en “marque blanche” au sein de ces sites en 2 ou 3 lignes de code…

Je te remercie de ton intervention.