Scribble at 2018-03-22 16:48:47 Last modified: 2022-09-25 18:36:39

添付画像

ヘテムルのサイトは全て WAF を有効にしてあるので、この Notes のようにオリジナルの CMS を使って投稿するときに、しばしば WAF からインジェクション攻撃と判定されて、投稿処理を拒否されてしまうことがある。そのたびに .htaccess で「SiteGuard_User_ExcludeSig」というディレクティブを付けて例外扱いにしてもらっている。もとより、.htaccess でアクセス元の IP アドレスを限定してあるし、自分で投稿できなければ CMS を使っている意味がない。とは言うものの、あまりにも例外を追加し過ぎると WAF のご利益がなくなってしまうので、そろそろ投稿(編集した文章のアップデート機能も兼ねる)処理へ移る際に、フォームで「認証コード」を要求するようにした。ちょうど上記のような体裁である。

[追記:2022-09-25] 現在、Notes を投稿するページは僕のローカル・マシンにしかない。ヘテムルのリモート・サーバで動かすと、どこからでも編集はできるのだが、それはそれで危険だし、そうする必然性もないからだ。自宅と会社のマシンにあるローカルの環境だけで動かし、公開中の MD や PHILSCI.INFO へはデータを ftp 関数で上書きするという動作になっているため、上記のような認証コードはすでに使っていない。ローカルで動かすのに認証コードなんていらないからだ。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook