Security Apache Mod Rewrite Http Referer

Cara Blokir Akses Pengguna ke Halaman Servlet Menggunakan HTTP_REFERER di Apache

Seiring dengan pertumbuhan aplikasi web, kebutuhan untuk mengamankan halaman sensitif dan melindunginya dari akses yang tidak sah, terutama dari bot otomatis, juga meningkat. Jika Anda berada dalam situasi di mana Anda perlu memblokir pengguna agar tidak mengakses halaman servlet tertentu secara langsung, tetapi Anda tidak memiliki kemampuan untuk memodifikasi server aplikasi, maka menggunakan header HTTP_REFERER dari Apache bisa menjadi bagian dari solusi Anda.

Dalam pos ini, kita akan menjelajahi cara efektif untuk memblokir akses menggunakan HTTP_REFERER di file .htaccess Anda, memecah langkah-langkah dan memberikan contoh yang jelas untuk membantu Anda mencapai tujuan Anda.

Memahami HTTP_REFERER

HTTP_REFERER adalah header HTTP yang mengidentifikasi alamat halaman web yang terhubung ke sumber daya yang sedang diminta. Singkatnya, itu memberitahu server Anda dari mana seorang pengguna datang sebelum mengakses halaman tertentu.

Mengapa Menggunakan HTTP_REFERER untuk Memblokir Akses?

  1. Langkah Keamanan: Meskipun tidak sepenuhnya aman, ini berfungsi sebagai penghalang awal terhadap akses yang tidak sah.
  2. Kemudahan Implementasi: Jika Anda mengendalikan server web tetapi tidak logika aplikasi, ini adalah pendekatan praktis.
  3. Mencegah Permintaan Otomatis: Memblokir permintaan langsung dari sumber eksternal atau bot sangat penting jika Anda ingin menjaga formulir Anda tetap aman dan berfungsi hanya melalui cara yang sah.

Menyiapkan Aturan Rewrite di .htaccess

Untuk menerapkan pemblokiran berdasarkan HTTP_REFERER, Anda perlu menambahkan aturan ke file .htaccess Anda. Berikut adalah cara Anda dapat menyusun aturan Anda secara efektif.

Aturan Rewrite Dasar

Anda bisa mulai dengan aturan sederhana seperti ini:

RewriteEngine on 

RewriteCond %{HTTP_REFERER} !^http://mywebaddress(.cl)?/.* [NC]
RewriteRule (servlet1|servlet2)/.+ - [F]

Penjelasan:

  • RewriteEngine on: Mengaktifkan mesin rewrite.
  • RewriteCond memeriksa apakah HTTP_REFERER tidak cocok dengan situs yang Anda tentukan.
  • RewriteRule menargetkan permintaan ke servlet1 atau servlet2.

Aturan Rewrite yang Ditingkatkan

Namun, jika Anda ingin memperbaiki pemeriksaan Anda agar hanya mengizinkan permintaan sah yang datang dari situs Anda dan memblokir yang memiliki string kueri, Anda memerlukan logika yang lebih kompleks:

RewriteCond %{HTTP_REFERER} !^http://mywebaddress(.cl)?/.* [NC]
RewriteCond %{QUERY_STRING} ^.+$ [OR]
RewriteCond %{REQUEST_METHOD} ^POST$ [OR]
RewriteCond %{PATH_INFO} ^.+$
RewriteRule (servlet1|servlet2)\b - [F]

Pembagian Aturan yang Ditingkatkan:

  • Kondisi Pertama: Memverifikasi bahwa permintaan tidak berasal dari URL situs yang ditentukan.
  • Kondisi Kedua: Memblokir permintaan dengan string kueri yang tidak kosong.
  • Kondisi Ketiga: Memblokir permintaan POST secara langsung.
  • Kondisi Keempat: Memblokir permintaan dengan PATH_INFO.

Kombinasi dari kondisi-kondisi ini memastikan bahwa hanya permintaan yang valid yang dapat menjelajahi lingkungan situs Anda dan mencapai halaman servlet yang ditentukan.

Kesimpulan

Meskipun bergantung pada HTTP_REFERER mungkin tidak memberikan keamanan yang sempurna, ini merupakan langkah awal yang efektif untuk membatasi akses ke halaman sensitif. Metode ini sangat berguna ketika batasan di tingkat aplikasi tidak memungkinkan perubahan yang komprehensif.

Sebagai pengingat, pendekatan ini menambah lapisan keamanan, tetapi ini bukan solusi lengkap. Selalu pertimbangkan untuk memperkuat validasi sisi server dan menjelajahi langkah-langkah keamanan tambahan seiring pertumbuhan aplikasi dan basis pengguna Anda.

Jika Anda telah mencoba metode ini atau memiliki wawasan tambahan, silakan tinggalkan komentar—pengalaman Anda dapat membantu orang lain mengatasi tantangan serupa!