php禁止js下载文件 (有没有办法用PHP禁止JS下载文件？)

PHP和Javascript是web开发中常用的两种编程语言，两者的作用各不相同。PHP主要负责与服务器进行交互，生成动态页面或处理用户请求；Javascript则主要用于实现与页面的交互和动态效果等。然而，在某些情况下，Javascript也可以用于下载文件，这可能会对网站安全性造成潜在威胁。所以，本文将介绍如何使用PHP禁止Javascript下载文件。

Javascript 通过 Blob 对象实现二进制数据的下载，攻击者可以利用这一点在用户不知情的情况下向其计算机中注入恶意程序或病毒。为了防止这种情况的发生，我们需要在服务器端进行相关的防护措施。

方法一：HTTP头部设置

在HTTP头部设置Content-Type或Content-Disposition头部，可以控制浏览器将下载文件显示或直接下载。这一方法可以在服务器端实现，并在响应头中设置相应的头部信息，具体如下：

php
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename="download.zip"');
readfile('download.zip');


通过设置Content-Type为application/octet-stream，告诉浏览器我们正在发送一个二进制数据流，并且Content-Disposition为attachment，告诉浏览器不要尝试识别响应数据，而是直接下载。

方法二：使用Session验证

Session验证是一种简单有效的防护措施。我们可以在PHP中设置Session，用于标识目前用户是否有下载文件的权限。在Javascript中，我们只需要向服务器端发送请求时携带Session信息，服务器端根据Session信息判断是否允许下载即可。具体如下：

“`php
session_start(); // 开启Session，需要在每个PHP页面中执行

if (isset($SESSION[‘allowdownload’]) && $SESSION[‘allowdownload’] === true) {
readfile(‘download.zip’);
} else {
echo ‘你无权下载此文件！’;
}
“`

在Javascript中，我们可以使用XMLHttpRequest对象向服务器端发送请求，并携带Session信息。

javascript
var xhr = new XMLHttpRequest();
xhr.open('GET', 'download.php', true); // 下载文件的PHP文件
xhr.setRequestHeader('Cookie', document.cookie); // 携带Cookie信息
xhr.onreadystatechange = function () {
if (xhr.readyState == 4) {
if(xhr.status == 200) {
var blob = new Blob([xhr.response], {type: "application/octet-stream"});
var fileName = 'download.zip';
saveAs(blob, fileName); // 使用FileSaver.js库实现下载
}
}
};
xhr.responseType = 'arraybuffer';
xhr.send();


在上面的代码中，我们使用了saveAs函数向用户提供下载。saveAs函数不是Javascript中的原生函数，需要借助第三方库FileSaver.js才能实现。

综上所述，我们可以使用上述两种方法中的任意一种来禁止Javascript下载文件。如果您对Javascript的安全设置比较重视，可以尝试将这两种方法同时使用。