.htaccess produziert 403-Fehler

1 Kayleigh (Gast)

Hallo zusammen,

vergeblich versuche ich ein Verzeichnis vor Zugriff von außen zu schützen, dabei aber den Zugriff von localhost (der eigenen IP) zuzulassen.

Im Verzeichnis liegen ausschließlich .pdf-Dateien. (Kundenrechnungen)

in die .htaccess-Datei habe ich lediglich geschrieben:

order deny,allow
deny from all
allow from 123.123.123.123 #meine IP-Adresse

Greife ich nun aber intern, also von der IP der Domain aus auf ein .pdf-file zu, dann kriege ich einen 403-Fehler ausgeworfen.

Jemand eine Idee woran das liegen könnte?

Danke und Gruß,
Thomas

2 Jörg Kruse

Wenn der Zugriff über die lokale Schnittstelle (das Loopback-Device) erfolgt, wird für gewöhnlich die Adresse 127.0.0.1 verwendet oder bei IPv6 die Adresse ::1

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 ::1

localhost löst normalerweise auch auf 127.0.0.1 auf und nicht auf die öffentliche Adresse des Rechners

Ab Apache 2.4 wird übrigens die Require-Direktive verwendet:

Require all denied
Require ip 127.0.0.1 ::1

3 Kayleigh (Gast)

Hallo und danke für die schnelle Antwort.

Tatsächlich habe ich beide Versionen getestet (es läuft Apache 2.4), aber leider hat es nicht geholfen... :-(

Man kann 'von außen' nicht auf die Datei zugreifen, aber eben auch nicht von der Domain aus selbst, bzw. auch nicht von localhost.

Kann mir das nicht erklären und stehe dem ziemlich ratlos vis-a-vis...

4 Jörg Kruse

Hast du Zugriff auf die Logfiles? was steht denn zu den Zugriffszeiten im Access Log sowie im Error Log des Webservers?

aber eben auch nicht von der Domain aus selbst, bzw. auch nicht von localhost.

Das heißt nicht über http://localhost/verzeichnis?

Kannst du über http://127.0.0.1/verzeichnis zugreifen?

Und sobald du testweise "Require all denied" auskommentierst, kannst du normal zugreifen?

5 Kayleigh (Gast)

Im Error-Log steht z.B.:
[Sun Apr 08 19:20:54.041992 2018] [authz_core:error] [pid 8441] [client ***:54183] AH01630: client denied by server configuration: /***/rechnungen/123.pdf, referer: https://***/rechnungen.php?***

access.log sagt nichts Außergewöhnliches.

Wenn ich "Require all denied" auskommentiere,- dann ändert sich nichts, ich kann auch dann nicht darauf zugreifen, der 403-server error bleibt.

Die aufzurufende "Rechnung" liegt im selben Verzeichnis, also im Verzeichnis 'rechnungen'.

Der Aufruf erfolgt also über href='rechnungen/123.pdf'

[Edit Jörg: einige Daten durch *** ersetzt]

6 Jörg Kruse

Der Zugriff erfolgte dann aber nicht über http://localhost/.../rechnungen/123.pdf und die IP-Adresse des Clients ist demzufolge auch nicht 127.0.0.1. Die IP-Adresse steht in der Fehlermeldung zwischen "client" und der Portangabe ":54183" sowie auch im Access-Log

Da ich nicht weiß, inwieweit auf die Seite zugegriffen werden darf, habe ich einige Daten in deinem Posting zur Sicherheit durch *** ersetzt.

7 Kayleigh (Gast)

Danke für die Sternchen... War mir beim Posten tatsächlich sehr unsicher.

Die IP-Adresse die da in den Logs angegeben wird,- ist die meines Routers!?
Die ändert sich ja bei jedem Neustart...

Logisch,- ich rufe die Datei ja auch von meinem PC aus auf.
Da hatte ich schon den ersten Gedankenfehler.

Dennoch weiß ich nicht wie genau der Pfad zur Datei auszusehen hat, etwa der ganze Pfad ab root?
Also http://localhost/home/User/public_html/rechnungen/123.pdf ?

8 Jörg Kruse

Nur noch mal zur Klarstellung, nicht dass ich dich hier missverstanden habe:

vergeblich versuche ich ein Verzeichnis vor Zugriff von außen zu schützen, dabei aber den Zugriff von localhost (der eigenen IP) zuzulassen.

"localhost" legt nahe, dass dein Browser auf demselben Rechner läuft, auf dem auch das Rechnungsverzeichnis liegt. Ist das der Fall?

http://localhost/ weist auf das DocumtentRoot-Verzeichnis des Webservers auf deinem Rechner. Wenn das DocumentRoot-Verzeichnis der betreffenden Domain ganz woanders liegt, kannst du diese auch auf die lokale IP-Adresse 127.0.0.1 auflösen lassen, indem du einen entsprechenden Eintrag in der hosts Datei machst (unter Linux /etc/hosts):

127.0.0.1       example.com

... und dann den Browser neu startest. Danach stellt dein Browser die Anfragen bez. dieser Domain über die IP-Adresse 127.0.0.1

Das funktioniert aber wie gesagt nur, wenn die Rechnungen auf demselben Rechner liegen, von dem du aus auch mit dem Browser zugreifen möchtest.

9 Kayleigh (Gast)

Hallo Jörg,
hat etwas gedauert,- die Arbeit...
Ist aber immer noch aktuell.

OK, das Ganze sieht so aus:
Ich habe einen dedizierten Server. Auf diesem gibt es ein Kundenportal.
In dieses können sich Kunden einloggen und darin auch ihre Rechnungen per pdf-download abrufen.
Diese pdf's sollen aber per http://... nicht direkt im Browser aufgerufen werden können.
Also dachte ich das mit einer .htaccess-Datei zu lösen, sodass nur von 'localhost', also von diesem Kundenzugang aus, Zugriff auf die Dateien möglich sein soll, nicht aber per direktem Aufruf (Link mit httpd://...)

Grüße,
Thomas

10 Jörg Kruse

Also dachte ich das mit einer .htaccess-Datei zu lösen, sodass nur von 'localhost', also von diesem Kundenzugang aus, Zugriff auf die Dateien möglich sein soll, nicht aber per direktem Aufruf (Link mit httpd://...)

Naja, ein Zugriff von localhost wäre in diesem Fall, wenn der Server selbst diese Datei abruft. Der Kunde hat ja weiterhin seine eigene IP-Adresse.

Einen abgesicherten Download könnte man dadurch realisieren, indem die PDF-Dateien in einem Verzeichnis gespeichert werden, von dem von außerhalb gar nicht zugegriffen werden kann. Stattdessen wird ein Download-Script verlinkt, welchem der Name des PDF als Parameter übergeben wird. Das Script prüft (z.B. anhand der Session), ob der User berechtigt ist, das PDF herunterzuladen, und liest es dann aus dem Verzeichnis ein, um es dem User zuzusenden. In PHP kann man so etwas z.B. mit der Funktion readfile() realisieren

Mit den Suchbegriffen "download script" lassen sich auch Beispiel-Scripte finden.

nach oben

Beitrag schreiben (als Gast)

Verwandte Themen
Thema	Autor	Forum	Beiträge	Letzter Beitrag
neue gruppen in htgroups erzeugt und Access geht nicht mehr	Andreas Müller	Webserver und .htaccess	13	11.03.2022 21:34
Weiterleitung von daten htaccess	Jörg Kruse	Webserver und .htaccess	21	22.11.2020 14:19
Htaccess prodziert "Internal Server Error" Fehler	Tricktrommler	Webserver und .htaccess	10	04.05.2020 16:59
WordPress Yoast PlugIn - wo suchen ?	MarkusWi	Sonstiges	4	28.09.2019 11:35
Ist meine robots.txt und sitemap.xml für Desktop und Mobile Seite so korrekt?	Lina-HH	SEO	20	04.02.2019 11:13
Fehlermeldung: Warning: Unknown: Your script possibly ...	tobi	PHP und MySQL	5	04.08.2010 17:33
Fehlersuche im Code	elena	HTML und CSS	3	26.01.2010 15:12

.htaccess produziert 403-Fehler

Beitrag schreiben (als Gast)

Verwandte Themen