Вызывает ли уязвимость безопасность показ контента другого сайта с помощью функции перезаписи.htaccess?

Question

Вызывает ли уязвимость безопасность показ контента другого сайта с помощью функции перезаписи.htaccess?

Предположим, у меня есть приложение, работающее на heroku с SSL-интерфейсом heroku, и у меня есть домен, в котором есть шифрование DV SSL.

Будет ли это уязвимо для безопасности, если я использую функцию перезаписи (.REDIRECT) функции.htaccess, чтобы показать содержимое приложения heroku на моем собственном домене? Поскольку я знаю, что если мы используем iframe или перенаправляем, он не будет уязвим, если обе точки подключения имеют шифрование SSL, но как насчет перезаписи?

PS Правило, которое я использую, выглядит примерно так

RewriteEngine On
RewriteCond #{HTTP_HOST} example.com
RewriteRule (.*) example.herokuapp.com/$1

PPS. Если кто-то знает, что в правиле htaccess есть проблема или дыры в безопасности, пожалуйста, укажите

1

.htaccess security mod-rewrite url-rewriting

Источник

user8460574 17 окт '17 в 11:23

1 ответ

Решение

Другие вопросы по тегам .htaccess security mod-rewrite url-rewriting

user5427950 18 окт '17 в 00:44 2017-10-18 00:44 · Accepted Answer · 2017-10-18 00:44

Вы не можете переписать на другой внешний сайт без прокси-сервера apache, и доза mod_proxy действительно имеет некоторые проблемы с безопасностью:

С сайта Apache:

Прямой прокси активируется с помощью директивы ProxyRequests. Поскольку прямые прокси-серверы позволяют клиентам получать доступ к произвольным сайтам через ваш сервер и скрывать их истинное происхождение, важно защитить свой сервер, чтобы только авторизованные клиенты могли получить доступ к прокси-серверу до активации прямого прокси-сервера.