Какие настройки htaccess следует использовать для блокировки бота по PHPSESSID?

Question

Michael

htaccess

Какие настройки htaccess следует использовать для блокировки бота по PHPSESSID?

Как можно настроить RewriteCond для создания правила, которое проверяет файл на наличие совпадений с %{HTTP_COOKIE}, таких как PHPSESSID=KN7LHYNBdIK8R06eN18k95QhyNvmJNsO или другие выданные сессии? Я хочу создать правило, которое будет блокировать запросы, содержащие определенные сессии, чтобы предотвратить спам со случайных IP-адресов, используя общие сессии PHP. Я также ищу способ автоматического обновления списка нежелательных сессий в файле, чтобы он мог быть использован в RewriteCond.

5 февраля 2024 г. 10:20

Ответы на вопрос 2

Похожие вопросы

Answer 1

Чтобы блокировать запросы на основе определенных PHPSESSID с использованием файла `.htaccess`, вы можете использовать модуль mod_rewrite Apache. Вот пример таких настроек:

```apache
RewriteEngine On
# Проверяем наличие PHPSESSID в cookies
RewriteCond %{HTTP_COOKIE} PHPSESSID=(KN7LHYNBdIK8R06eN18k95QhyNvmJNsO|другая_сессия|и_другая_сессия) [NC]
# Если условие выполняется, отклоняем запрос, отправляя статус 403 Forbidden
RewriteRule ^ - [F,L]
```

Это правило проверит cookie запроса на наличие одного из указанных PHPSESSID и вернет статус 403 (Forbidden) для всех запросов, которые содержат эти идентификаторы сессии. Вы можете перечислить все запрещенные PHPSESSID, разделив их символом `|` (pipe), который в данном случае функционирует как логический оператор OR. Обязательно используйте `[NC]` для указания, что сравнение не должно учитывать регистр символов.

Автоматическое обновление списка нежелательных сессий в `.htaccess` файле может быть проблематичным, так как файл `.htaccess` предполагает ручное редактирование. Однако, вы можете использовать скрипт на сервере, который будет регулярно обновлять содержимое `.htaccess`, хотя это не является обычной практикой из-за потенциальных проблем с производительностью и безопасностью. Лучшим подходом для динамического обновления списка будет использование серверных скриптов на уровне приложения, например, на PHP:

```php
<?php
$blocked_sessions = array('KN7LHYNBdIK8R06eN18k95QhyNvmJNsO','другая_сессия','и_другая_сессия');
if (isset($_COOKIE['PHPSESSID']) && in_array($_COOKIE['PHPSESSID'], $blocked_sessions)) {
    http_response_code(403);
    exit('Forbidden');
}
// Здесь оставшаяся часть вашего кода.
```

Этот код проверяет `PHPSESSID` текущего пользователя и если она находится в списке заблокированных, отправляет статус 403 и прекращает выполнение скрипта.

Если вы хотите автоматизировать создание списка заблокированных сессий, вы можете хранить этот список в базе данных или файле и обновлять его скриптом, который будет выполняться по расписанию (например, через cron). Это позволит динамически менять список заблокированных сессий без вмешательства в код или через `.htaccess`.

Answer 2

как в RewriteCond сделать правило на просмотр файла и если в нем есть совпадения с %{HTTP_COOKIE}
 
 Если можно изменить конфиг апача, то можно использовать RewriteMap с файлом: 
 Если возможности модификации конфига апача нет, то только средствами python (например), переадресовывая на этот скрипт, который уже будет выполнять все манипуляции, но в таком варианте, производительность будет не такая быстрая, как у апача или nginx.