.htaccessについて質問です。今現在会員サイトを構築しているのです。アクセス制限はBasic認証ではなくクッキーとセッションIDを組み合わせたものを使用していますがカバーできるディレクトリではCGIなどのWebアプリが作動してくれないのでWWW上のディレクトリに置くことにしました。

.htaccessを用いてリファラチェックを行うことは可能です。

> 悪意を持ったユーザによって～実際に可能なのでしょうか？

リファラはクライアント側の情報なのでリファラを変換可能なブラウザorツールなどを使えば可能です。

解決方法はあることはありますが、多少面倒です。

現在、アクセス制限が出来ないコンテンツはHTMLなどの静的コンテンツのことだと思いますが（動的コンテンツであればセションチェックが可能なので）、まずこれらのファイルはWWWからアクセス不可能or外部からは分かりにくい置き場所におきます。

次に下記の仕様のCGIを作成します。

1.セションチェックを行う

2.クエリ文字列でリソース名(本当に欲しいファイル名を示す文字列)を受け、そのファイルを読み込み、画面に表示する

3.画面に表示する前にそのファイル内に存在するURL(src=””やhref=””等で検索)を自分自身(このCGI)を示しかつクエリ文字列に元のURLを追加する

※例：http://abc/def.html→http://abc/session_check.cgi?url=def.html

さらに3は面倒で、元のURLに元々他にクエリ文字列が入っている場合と入っていない場合に分けて考える必要があります（元のURLに先に「?」が入っているかどうか）。

またCGIの言語がPerlでしたらCPANを探せばURLの書き換えを行ってくれるモジュールがありそうな気がしましたが、今はダウンしているようで繋がりませんでした（URI、override辺りで探せばありそう)。

htmlに対してアクセス制限をかけるのであれば、リファラーチェックよりも、mod_actionsのActionディレクティブでの制御が有効ではないでしょうか。

Action text/html /cgi-bin/access.cgi

で、htmlファイルへのアクセス時に/cgi-bin/access.cgiが起動しますので、ここでクッキーのチェックなどが可能です。PATH_INFOをみることでリクエストされたhtmlファイル名を判別できます。

「アクセス制限はBasic認証ではなくクッキーとセッションIDを組み合わせたものを使用していますが」とあるので、認証済みのクッキーを判別するコードは書ける前提でお話を進めます。私はPerlよりもPHPが好みなのでPHPで例を書きますが、Perlでも同様のコードを書けると思います。

access.php:

<?php

$doc_root = ’/path/to/document/root’; // ドキュメントルートの絶対パス

if($_COOKIE[’auth’]){ // 認証OKの条件を入れてください

$file_path = $doc_root.$_SERVER[’PATH_INFO’];

echo file_get_contents($file_path);

}else{

die(’401 Unauthorized’);

}

?>

アクセス制限をつけたいディレクトリに置く.htaccess:

Action text/html /path/to/access.php

※access.phpへのドキュメントルートからの絶対パスに適宜変えてください

これで、*.html にアクセスしようとするとaccess.phpが呼び出され、認証条件OKならばファイルの内容を表示、さもなければエラーを吐くようにできます。当然、認証されたユーザと、閲覧してよいファイル名のチェックを追加しなければならないでしょうが。