Autor Zpráva
qwerxi
Profil
Zdravím, zkouším zabezpečit stránky pomocí .htaccess a .htpasswd, klasika běžně popisována na různých stránkách

AuthName „zaheslovanyAdresar"
AuthType Basic
AuthUserFile     /home/www/*****/www/***********/.htpasswd
require valid-user

zaheslování dá se říct funguje, klasicky odhlášní není možné, takžé vypnu prohlížeč, znova zapnu a načtu adresu k zaheslované stránce.. a ted k jádru poblému - když nekliknu na ok (potvrzení jména a hesla) ale kliknu na zrušit (zrušení přihlášení - zavření přihlašovacího okna), tak mě to automaticky kopne na zaheslovanou stránku a já jí můžu krásně prohlížet, následovat odkazy na ní umístěné atd..

Dá se tomuhle nějak vyhnout, aby po kliknutí na "Zrušit" místo "Ok" nedocházelo k otevření zaheslovaného obsahu ?

prohlížeče - Mozilla, IE

Tuším že je problém zkrátka v tom, že obsah byl již jednou načten a proto se dokáže takto načíst i bez řádného zadaní hesla..

Díky za rady.
Kajman
Profil
Zkuste zakázat v http hlavičkách cachování.

ExpiresDefault A0
Header set Cache-Control "no-store, no-cache, must-revalidate, max-age=0"
Header set Pragma "no-cache" 
qwerxi
Profil
Zdá se že funguje, díky za radu.
qwerxi
Profil
Měl bych ještě jeden dotaz ohledně používání .htaccess k zaheslování stránek. Dá se nějak podle přihlašovacího jména a hesla zjistit který z uživatelů opravněných k přístupu se právě přihlásil a podle toho se mu například zobrazil určitý obsah, předvyplnil určitý formulář atd.. ?

Zkrátka něco jako že, přihlásil se PEPA tak proměná $uzivatel bude mít hodnotu PEPA, přihlásil se PETR tak proměná $uzivatel bude mít hodnotu PETR atd...

Díky za radu.
juriad
Profil
Jméno bys měl najít v $_SERVER['REMOTE_USER'].

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: