我应该采取哪些安全措施来防止我的文档被下载？

Question

我正在进行一个摄影师的项目。他获得了很多版权图像，并希望在带有水印的网站上显示或预览它们。他还希望为购买该特定图像的会员提供无水印的高质量原始图片下载。

我计划如下以防止未经授权的下载：
1.) 将所有没有水印的图像放在秘密文件夹中，并使用 .htaccess
阻止对其内容的访问 2.）要显示带有水印的图像，请使用preview.php文件调用它[从秘密文件中读取文件并添加水印并将其显示到浏览器]
3.) 要启用无水印下载，请使用 download.php 调用它，并在 download.php 中检查凭据，如果登录用户一切正常，则从秘密位置读取原始文件并将内容输出到浏览器。

我还应该采取其他安全措施吗？

Answer 1

无需添加 .htaccess 文件，只需将该文件夹放在网站根目录之外即可。除此之外，听起来不错。

Answer 2

你在这里描述的听起来不错。我可能会将照片完全放在 webroot 之外，但这与 .htaccess 相比不会产生实际差异。

Answer 3

您可以使用一种通常称为“热链接保护”的方法，通过该方法可以阻止使用非您自己站点的 HTTP 引荐来源网址的请求。 mod_rewrite 对此非常有用。这是一个例子：

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]