目錄 Table of Contents
htaccess 測試工具 http://htaccess.madewithlove.be javascript
1、.htaccess簡介
1.什麼是.htaccess
.htaccess是一個純文本文件,裏面存放着Apache服務器配置相關的一些指令,它相似於Apache的站點配置文件,如httpd.conf(Apache2已經支持多站點,所以你的站點配置文件可能在/etc/apache2/conf.d/目錄下)。 .htaccess與httpd.conf配置文件不一樣的是,它只做用於當前目錄。另外httpd.conf是在Apache服務啓動的時候就加載的,而.htaccess只有在用戶訪問目錄時加載,開銷大、速度慢。 既然如此,爲何咱們還要用.htaccess呢?由於它配置起來簡單,它還支持重定向、URL重寫以及訪問驗證,另外它管理起來很方便,能夠很好適應網站遷移。總之,各有優缺點,主要就看你是要從全局考慮仍是隻配置單個目錄。php
2.AllowOverride All
一般狀況下,Apache是默認啓用.htaccess的,可是爲了以防萬一,請檢查一下本身站點的配置文件,如httpd.conf,是否有這行:html
AllowOverride All
這行容許重寫配置文件。也就是若是可以從.htaccess加載配置文件,那麼就以.htaccess爲配置文件對其所在目錄進行配置。java
3.500錯誤
若是你租用了雲服務提供商的主機或者空間,那麼他們可能不會給你讀寫httpd.conf文件的權限,你也不可能檢查AllowOverride命令參數是否爲All,這時,你能夠新建一個目錄,在裏面寫一個.htaccess文件,文件中隨意寫入一些服務器看不懂的東西,而後訪問該目錄裏的一個頁面,耐心等待500錯誤的出現。 若是沒有出現,那麼.htaccess沒有被啓用,你須要向你的服務供應商尋求幫助;若是出現了,那麼恭喜你,你能夠對當前目錄重寫Apache配置。 /!\注意:.htaccess語法錯誤可能會影響整個站點,若是你不肯定這樣作是否安全,請聯繫你的雲服務供應商。web
4.有用的文檔
2、.htaccess訪問控制(Allow/Deny)
1.訪問控制基礎:Order命令
爲了限制用戶訪問一些關鍵目錄,.htaccess能夠提供目錄訪問限制。你只須要在要限制的目錄中,加入以下.htaccess文件:正則表達式
# no one gets in here! deny from all
這會限制全部用戶經過瀏覽器訪問該目錄,這太一刀切了,所以咱們還能夠增長一些特定的條件,如容許指定IP地址的訪問:apache
Order Allow,Deny Deny from All Allow from 192.168.0.0/24
Order命令
Order命令是一個難點,也是配置apache的基礎,它決定了Apache處理訪問規則的順序。瀏覽器
- 經過Allow,Deny參數,Apache首先找到並應用Allow命令,而後應用Deny命令,以阻止全部訪問。
- 經過Deny,Allow參數,Apache首先找到並應用Deny命令,而後應用Allow命令,以容許全部訪問。
瞭解Order的用法後,再仔細考慮下上面的例子,你或許可以發現Deny命令是多餘的,如下用法和以前的描述語義相同:安全
Order Allow,Deny Allow from 192.168.0/24
2.利用.htaccess過濾域名或網絡主機(Allow/Deny)
下例能夠限制全部含有「domain.com」的網絡主機訪問網站:服務器
Order Allow,Deny Allow from all Deny from .*domain\.com.*
{!}Info:有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
3.利用.htaccess禁止訪問指定文件(Files)
Files命令能夠用於過濾指定文件:
# secure htaccess file <Files .htaccess> order allow,deny deny from all </Files>
4.利用.htaccess禁止訪問指定文件類型(FilesMatch)
下面的代碼將限制訪問全部.log和.exe文件:
<FilesMatch ".(log|exe)$"> Order allow,deny Deny from all </FilesMatch>
咱們還能夠經過Files命令描述文件類型,可是須要在命令後面加一個波浪線(~),該符號啓用Files命令的正則表達解析功能:
<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])"> Order allow,deny Deny from all Satisfy All </Files>
有如下幾點須要讀者注意:
- Files以後的波浪線用於開啓「正則表達式」分析。請注意,這是個過期的用法,Apache更推薦使用<FilesMatch>指令[3]
- 正則表達式必須在雙引號之間,有關htaccess的正則表達式用法,請查閱本站《.htaccess正則表達式》一文。
- 雙引號中的「管道符」(|)用於將兩種文件類型(.log和.exe)分開,至關於邏輯「或」
- Order命令必須嵌在Files節(Section)中,不然將會應用到全部文件
- Satisfy All表示必須同時知足主機級別(Allow/Denay)和用戶級別(Require)的限制,All是默認值,該行能夠省略。
5.高級訪問控制(Rewrite)
咱們還能夠經過運用Rewrite實現更強大的訪問控制,可是Rewrite不是本文討論的內容。讀者能夠參看:利用RewriteCond和RewriteRule進行訪問控制一文。
3、利用.htaccess進行密碼保護與驗證
1.配置.htaccess
AuthType Basic AuthName "restricted area" AuthUserFile /usr/local/var/www/html/.htpasses require valid-user
這個配置文件能夠保護.htaccess所在的整個目錄,簡單說明下參數:
- AuthType:驗證類型爲基本類型,密碼以明文方式傳輸到服務器上
- AuthName:驗證提示,會出如今驗證對話框中
- AuthUserFile:驗證配置文件,用於匹配用戶名與密碼,該密碼是加密保存的
- require valid-user:只有在AuthUserFile中出現的用戶才能夠經過驗證
若是驗證失敗,則會出現401錯誤。
2.生成.htpasses文件
如何生成.htpasses文件呢?咱們經過htpasswd命令生成密碼文件:
htpasswd -c /usr/local/var/www/html/.htpasses lesca
它會提示你輸入密碼,並確認。以後將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下。
3.對文件進行密碼保護
保護與.htaccess在同一目錄下的文件secure.php:
# password-protect single file <Files secure.php> AuthType Basic AuthName "Prompt" AuthUserFile /home/path/.htpasswd Require valid-user </Files>
保護.htaccess所在目錄下的多個文件:
# password-protect multiple files <FilesMatch "^(execute|index|secure|insanity|biscuit)*$"> AuthType basic AuthName "Development" AuthUserFile /home/path/.htpasswd Require valid-user </FilesMatch>
4.對指定IP進行密碼保護
僅容許IP地址爲99.88.77.66的主機直接訪問該目錄,其餘IP須要驗證。
AuthType Basic AuthName "Personal" AuthUserFile /home/path/.htpasswd Require valid-user Allow from 99.88.77.66 Satisfy Any
5.安全性
出於安全考慮,將.htpasses文件存放在WEB目錄樹以外也許是個好方法,可是因爲.htpasses是隱藏文件,並且Apache不會輸出隱藏文件,所以能夠知足基本的安全要求。這是經過在主配置文件中加入以下限制實現的:
<Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy All </Files>
通常而言,這是默認設置,用戶無需手動添加。咱們惟一須要擔憂的是密碼在網絡傳輸過程當中是明文形式,這很容易被黑客破譯。Coz[1]提供了一個開源項目Pajamas能夠在本地利用JS對密碼進行MD5加密,有興趣的讀者能夠前去研究一下。
4、目錄瀏覽與主頁
若是你打開本站的下載頁面http://download.lesca.me/,就會發現你能夠看見這個站點下的全部文件。像這樣的特性也能夠通.htaccess來設置用戶是否有權限瀏覽服務器目錄。
1.啓用目錄瀏覽
# enable directory browsing Options All +Indexes
2.禁用目錄瀏覽
# disable directory browsing Options All -Indexes
咱們還能夠經過IndexIgnore指令來禁用目錄瀏覽。
# prevent folder listing IndexIgnore *
經過IndexIgnore指令,咱們能夠禁止對指定類型的文件瀏覽:
# prevent display of select file types IndexIgnore *.wmv *.mp4 *.avi *.etc
3.自定義目錄瀏覽
若是你但願Apache在展現你的WEB目錄時看起來不同凡響,那麼你須要啓用FancyIndexing選項:
<IfModule mod_autoindex.c> IndexOptions FancyIndexing </ifModule>
經過這個選項,你能夠實現自定義圖標、添加文件類型描述、按日期排序等。可是這些已經超過了本文的討論範圍,Lesca能夠給你一個作好的例子,你能夠在這頁查看效果。
4.配置目錄主頁文件
即便啓用了目錄瀏覽,Apache未必會展現該目錄的內容,由於該目錄可能存在像index.htm這樣的默認主頁文件。Apache會有限展現主頁文件,咱們能夠經過.htaccess設置:
DirectoryIndex index.html index.php index.htm
5.配置錯誤頁面
若是Apache遇到錯誤,就會輸出錯誤頁面。配置自定義的錯誤頁面,也許能夠挽留即將離開的用戶。
# custom error documents ErrorDocument 401 /err/401.php ErrorDocument 403 /err/403.php ErrorDocument 404 /err/404.php ErrorDocument 500 /err/500.php
5、URL重寫與URL重定向
下一篇文章,咱們將介紹htaccess的重頭戲:URL重寫與URL重定向
References:
[1] .htaccess tips and tricks [2] Stupid htaccess Tricks [3] Files Directive