Hello,

De mon coté en SPIP 3.3 + accès restreint 4.0.0

Le fichier IMG/.htaccess  n'est pas créé même en forçant un
$GLOBALS['meta']['creer_htaccess'] = 'oui',
J'ai vérifié les droits mais  le .htaccess dans IMG/ ne se créé pas.

Par contre IMG/{jpg,mp3,mp4,...}/.htaccess sont bien présent avec un "deny
all" pour apache 2.2/2.4.

les liens générés par #URL_DOCUMENT semblent fonctionner correctement et
sont du type:
monsite.loc/docrestreint.api/21/b0696e42785dd2ca48c32c219e1317059b68a5ac/jpg/debian8.jpg


Par contre pour que la gestion des autorisations en fonction des documents
présents dans les zones restreinte il faut définir la constante
ACCES_RESTREINT_FORCE_AUTORISE

Voilà.


Le jeu. 7 mai 2020 à 00:49, RastaPopoulos <rastapopou...@spip.org> a écrit :

> Le 06/05/2020 à 20:21, nicod_ a écrit :
> > En 3.2 ça crée un htaccess dans IMG :
> >
> > RewriteEngine On
> > RewriteCond %{QUERY_STRING} ^(\d+/[\da-f]+)$
> > RewriteRule ^\w+/.*$     ../spip.php?action=api_docrestreint&arg=%1/$0
> [skip=100]
> > RewriteRule ^\w+/.*$     ../spip.php?action=api_docrestreint&arg=0/0/$0
> [skip=100]
>
> Moi j'ai bien ces règles (je suis en 3.2), et il les faut absolument à la
> racine de IMG. Pierrox dit que lui ne les a pas, et ça ça peut être un bug.
>
> Ces règles servent justement à ne PAS servir les fichiers directement,
> mais à les faire passer par l'action en paramètre.
>
> Et donc ça teste bien l'autorisation ensuite dans l'action, c'est bien le
> cas sur un de nos sites. (et sans define pour ça à priori)
>
> --
> RastaPopoulos
>
> _______________________________________________
> liste: https://listes.rezo.net/mailman/listinfo/spip-dev
> doc: https://www.spip.net/
> dev: https://core.spip.net/
> irc://irc.freenode.net/spip
>
_______________________________________________
liste: https://listes.rezo.net/mailman/listinfo/spip-dev
doc: https://www.spip.net/
dev: https://core.spip.net/
irc://irc.freenode.net/spip

Répondre à