flow.php 漏洞,php – 使用Apache的Flowplayer安全流
更新:现在,这是一个关于如何给流式视频提供一定程度的安全性的教程:
1)您正在使用带Apache的Flowplayer
2)您不希望用户能够下载视频(仅流媒体)
3)您不希望用户能够将视频的URL放在浏览器中(受限访问视频)
4)您只希望用户能够流式传输视频,如果他们有正确的凭据
您必须拥有PHP和.htaccess文件的先前知识.
原帖:
我的客户希望他的视频被隐藏,以便在他们的域名购买之前不能流媒体(他不希望用户能够下载视频).我正试图用Flowplayer的安全流媒体来做到这一点,我想我几乎在那里9我现在有!搜索到处都找到了this post.
我通过.htaccess限制了其他网站的热链接,现在我试图限制某人只是复制网址并将其粘贴到地址栏(即http://www.mydomain.com/videos/testVideo.mov)
我使用PHP / AJAX来生成这个HTML(大多数例子使用JS Flowplayer Plugin,我使用< object>标签来嵌入播放器,没有JS涉及到,如果你使用JS插件,使用而不是嵌入式版本,.htaccess文件和video.php文件将是一样的.)
$videofilename = 'testVideo.mov';
$hash = md5('1234');
$timestamp = time();
$videoPath = $hash.'/'.$timestamp.'/'.$videofilename;
echo '
"playlist":[
{"url": "'.$videoPath.'", "baseUrl": "http://www.mydomain.com/videos", "autoPlay":false,"autoBuffering":true,"bufferLength":5}
]
}\' />
';
现在在目录中我把这个.htaccess文件放在了这个文件里:
RewriteEngine on
RewriteRule ^(.*)/(.*)/(.*)$http://www.mydomain.com/vidoeos/video.php?h=$1&t=$2&v=$3
RewriteRule ^$- [F]
RewriteRule ^[^/]+\.(mov|mp4)$- [F]
更新:
php文件的目的是1)获取数据哈希,时间戳和视频文件名(test.mov或其他任何内容)2)确保一切检查(我在此示例中有意忽略了安全检查的长度)和3)给Flowplayer的视频流.确保$originaltimestamp和$hash在提供访问之前是好的.您还可以检查会话凭据,从数据库获取“真实”文件位置,或者在给予用户访问权限之前进行任何类型的php安全检查.
还要记住要更改Content-type:字段,使其与正确的文件扩展名相关(即视频/ mp4如果视频是* .mp4)
而video / video.php如下所示:
session_start();
$hash = $_GET['h'];
$streamname = $_GET['v'];
$originaltimestamp = $_GET['t'];
header('Content-Description: File Transfer');
header('Content-type: video/quicktime');
header("Content-length: " . filesize($streamname));
header("Expires: 0");
header("Content-Transfer-Encoding: binary");
$file = fopen($streamname, 'r');
echo stream_get_contents($file);
fclose($file);
?>
总共有三个文件,带有播放器的HTML,.htaccess文件,最后是video.php文件.我原来的问题是$streamname是错误的.记住$streamname应该是BaseUrl之后(或下)的文件位置.希望这有助于像我这样的人!
任何人以这种方式看待安全问题?
flow.php 漏洞,php – 使用Apache的Flowplayer安全流相关推荐
- rmi远程代码执行漏洞_【漏洞通告】Apache Solr远程代码执行漏洞
1.综述 Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器.该产品支持层面搜索.垂直搜索.高亮显示搜索结果等. Apache Solr ...
- 【论文阅读】Attention Based Spatial-Temporal GCN...Traffic Flow Forecasting[基于注意力的时空图卷积网络交通流预测](1)
[论文阅读]Attention Based Spatial-Temporal Graph Convolutional Networks for Traffic Flow Forecasting[基于注 ...
- 常见服务器解析漏洞(IIS,Nginx,Apache)
一.IIS6.0 目录解析:/xx.asp/xx.jpg xx.jpg 可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件. 后 ...
- 随便贴两个漏洞,如 Apache JServ协议服务
1.Apache JServ协议服务 描述: Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器.不建议在互联网上公开 ...
- 【漏洞复现】Apache Shiro 反序列化漏洞
Apache Shiro 反序列化漏洞 一.简介 二.环境 三.漏洞原理 四.AES秘钥 1.判断AES秘钥 五.Shiro rememberMe反序列化漏洞(Shiro-550) 1.版本1.4.2 ...
- flow.php 漏洞,Ecshop 3.0的flow.php文件SQL注射漏洞修复
关于这个漏洞是ECSHOP2.7.3版本修复了.ecshop最新版本3.0也会犯这种低级的错误. elseif ($_REQUEST['step'] == 'repurchase') { includ ...
- [ 漏洞复现篇 ] Apache Shiro 身份认证绕过漏洞 (CVE-2022-32532)
- Apache Pulsar的Function流式计算框架使用
目录 1. 背景 2. 介绍 3. Pulsar Function的使用 3.1 Pulsar Function的启用 3.2 使用Pulsar Function 4. 自己编写一个Function ...
- Apache ‘mod_pagespeed’模块跨站脚本漏洞
漏洞名称: Apache 'mod_pagespeed'模块跨站脚本漏洞 CNNVD编号: CNNVD-201310-677 发布时间: 2013-11-05 更新时间: 2013-11-05 危害等 ...
- Apache Dubbo 高危漏洞通告
前沿技术早知道,弯道超车有希望 积累超车资本,从关注DD开始 作者:360CERT, 图文编辑:xj 来源:https://www.oschina.net/news/178522 报告编号:B6-20 ...
最新文章
- Java 依赖注入标准(JSR-330)简介
- python-字符串前面f的作用
- 百度云网盘 360云盘 金山快盘 等 + Git GUI 实现代码版本管理-个人篇
- Python教程:多态与多态性
- 《Enterprise Library深入解析与灵活应用》博文系列汇总
- OSPF协议介绍及配置 (下)
- 高端ERP软件市场漫谈:崇洋无罪 自重有理
- SpringBoot编写sh脚本进行启停
- PHP中文分词扩展 SCWS
- 中国天气网城市代码python字典的生成方法分享(1)
- 第五章_卷积神经网络(CNN)
- 在WordPress中使用旋转文字创建“会话”横幅:第2部分
- 洛谷P1378 油滴扩展
- D - New Year Snowmen(优先队列+贪心)
- R-loop数据分析之R-ChIP(样本间BAM比较和可视化)
- Java高级软件工程师面试考纲总结
- VNC树莓派无法连接
- 帝国cms html5 编辑器,帝国CMS修改默认编辑器为百度编辑器UEditor的方法
- 风光储交直流微电网matlab/simulink仿真模型仿真模型
- 一个向上帝买了挂的男人!