Security Apache Mod Rewrite Http Referer

Cómo Bloquear el Acceso de Usuarios a Páginas de Servlet Usando HTTP_REFERER en Apache

A medida que las aplicaciones web crecen, también lo hace la necesidad de asegurar páginas sensibles y protegerlas de accesos no autorizados, especialmente de bots automatizados. Si te encuentras en una situación donde necesitas bloquear a los usuarios de acceder directamente a ciertas páginas de servlet, pero no tienes la capacidad de modificar el servidor de aplicaciones, entonces usar el encabezado HTTP_REFERER de Apache puede ser parte de tu solución.

En esta publicación, exploraremos cómo bloquear efectivamente el acceso usando HTTP_REFERER en tu archivo .htaccess, desglosando los pasos y proporcionando ejemplos claros para ayudarte a alcanzar tu objetivo.

Entendiendo el HTTP_REFERER

El HTTP_REFERER es un encabezado HTTP que identifica la dirección de la página web que enlazó al recurso que se está solicitando. En términos simples, le dice a tu servidor de dónde vino un usuario antes de acceder a una página específica.

¿Por Qué Usar HTTP_REFERER Para Bloquear Acceso?

  1. Medida de Seguridad: Aunque no es infalible, sirve como una barrera inicial contra el acceso no autorizado.
  2. Facilidad de Implementación: Si tienes control sobre el servidor web pero no sobre la lógica de la aplicación, este es un enfoque práctico.
  3. Prevención de Solicitudes Automatizadas: Bloquear solicitudes directas desde fuentes externas o bots es crucial si deseas mantener tus formularios seguros y funcionales solo a través de medios legítimos.

Configurando las Reglas de Reescritura en el .htaccess

Para implementar el bloqueo basado en el HTTP_REFERER, necesitarás agregar reglas a tu archivo .htaccess. Aquí te mostramos cómo estructurar tus reglas de manera efectiva.

Regla de Reescritura Básica

Puedes comenzar con una regla simple como esta:

RewriteEngine on 

RewriteCond %{HTTP_REFERER} !^http://mywebaddress(.cl)?/.* [NC]
RewriteRule (servlet1|servlet2)/.+ - [F]

Explicación:

  • RewriteEngine on: Activa el motor de reescritura.
  • RewriteCond verifica si el HTTP_REFERER no coincide con tu sitio especificado.
  • RewriteRule se dirige a solicitudes a servlet1 o servlet2.

Regla de Reescritura Mejorada

Sin embargo, si deseas refinar tus verificaciones para permitir solo solicitudes legítimas que provengan de tu sitio y bloquear aquellas con cadenas de consulta, necesitas una lógica más compleja:

RewriteCond %{HTTP_REFERER} !^http://mywebaddress(.cl)?/.* [NC]
RewriteCond %{QUERY_STRING} ^.+$ [OR]
RewriteCond %{REQUEST_METHOD} ^POST$ [OR]
RewriteCond %{PATH_INFO} ^.+$
RewriteRule (servlet1|servlet2)\b - [F]

Desglose de la Regla Mejorada:

  • Primera Condición: Verifica que las solicitudes no provengan de URLs del sitio especificado.
  • Segunda Condición: Bloquea solicitudes con cadenas de consulta no vacías.
  • Tercera Condición: Bloquea solicitudes POST directamente.
  • Cuarta Condición: Bloquea solicitudes con PATH_INFO.

La combinación de estas condiciones asegura que solo las solicitudes válidas que navegan a través del entorno de tu sitio puedan alcanzar las páginas de servlet especificadas.

Conclusión

Si bien confiar en HTTP_REFERER puede no proporcionar una seguridad a prueba de balas, es una medida inicial efectiva para restringir el acceso a páginas sensibles. Este método es particularmente útil cuando las restricciones a nivel de aplicación no permiten realizar cambios exhaustivos.

Como recordatorio, este enfoque añade una capa de seguridad, pero no es una solución completa. Siempre considera fortalecer la validación del lado del servidor y explorar medidas de seguridad adicionales a medida que tu aplicación y su base de usuarios crezcan.

Si has probado estos métodos o tienes información adicional, ¡por favor deja un comentario—tus experiencias pueden ayudar a otros a enfrentar desafíos similares!