PHP - подпапка или поддомен - PullRequest
Новая
       4

PHP - подпапка или поддомен

1 голос
/ 02 марта 2012

У меня есть домен - скажем www.domainname.com.

Сейчас я помещаю страницу администратора - для администрирования операций, которые происходят на сайте.

Я не хочу использовать другое новое доменное имя, CURL и т. Д., Поэтому я думаю, что у меня есть два варианта: 

 www.domainname.com/admin
 www.admin.domainname.com

Примечание. Я не буду использовать имя администратора.

Говорите о безопасности - есть ли предпочтения для любого из них?

Примечание: мне нужно получить доступ к той же БД без CURL и использовать SSL (не уверен, влияет ли это вообще на поддомен).

Любой совет?

ТНХ

Ответы [ 2 ]

2 голосов
/ 02 марта 2012

Между ними есть заметная разница в плане безопасности. Причина заключается в воздействии XSS-атак и ограничении использования файлов cookie.

Если http://www.domainname.com/ будет иметь уязвимость межсайтового скриптинга, злоумышленник может украсть куки пользователей и выполнить дополнительные атаки (ведение журнала, отслеживание истории, перенаправление на сайты фишинга / атаки).

Теперь, если область администрирования сайта была размещена на http://www.domainname.com/admin/, то пользователи администратора (и функциональные возможности администратора) также могут подвергаться атакам через дефект XSS в области пользователя.

Однако, если область администрирования размещалась в совершенно другом домене, например http://admin.domainname.com, то из-за правил политики одинакового происхождения и правил поиска cookie javascript область администратора не может быть атакована, если в XSS имеется изъян область пользователя.

Обратите внимание, что если вы выбираете http://www.domainname.com/ и http://admin.domainname.com/, обязательно всегда обслуживайте область пользователя с префиксом www.. Если вы обслуживаете пользовательскую область сайта с http://domainname.com и разрешаете область использования файлов cookie .domainname.com, то вы все равно будете выставлять файлы cookie административной области для пользовательской области сайта.

2 голосов
/ 02 марта 2012

Вы можете настроить файл httpd.conf для доступа к административной части с нужным доменом ... Вы можете приступить к созданию виртуального хоста

См. Виртуальный хост

См. Также Создание виртуального хоста

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...