目錄 Table of Contents
一�、.htaccess簡介
1.什么是.htaccess
.htaccess是一個純文本文件�,里面存放著Apache服務(wù)器配置相關(guān)的一些指令,它類似于Apache的站點(diǎn)配置文件����,如httpd.conf(Apache2已經(jīng)支持多站點(diǎn),因此你的站點(diǎn)配置文件可能在/etc/apache2/conf.d/目錄下)�����。
.htaccess與httpd.conf配置文件不同的是��,它只作用于當(dāng)前目錄�。另外httpd.conf是在Apache服務(wù)啟動的時候就加載的,而.htaccess只有在用戶訪問目錄時加載��,開銷大�、速度慢。
既然如此��,為什么我們還要用.htaccess呢���?因?yàn)樗渲闷饋砗唵?����,它還支持重定向�、URL重寫以及訪問驗(yàn)證�����,另外它管理起來很方便���,可以很好適應(yīng)網(wǎng)站遷移�??傊饔袃?yōu)缺點(diǎn)��,主要就看你是要從全局考慮還是只配置單個目錄��。
2.AllowOverride All
通常情況下,Apache是默認(rèn)啟用.htaccess的����,但是為了以防萬一,請檢查一下自己站點(diǎn)的配置文件�,如httpd.conf,是否有這行:
AllowOverride All
這行允許重寫配置文件�。也就是如果能夠從.htaccess加載配置文件,那么就以.htaccess為配置文件對其所在目錄進(jìn)行配置����。
3.500錯誤
如果你租用了云服務(wù)提供商的主機(jī)或者空間,那么他們可能不會給你讀寫httpd.conf文件的權(quán)限�,你也不可能檢查AllowOverride命令參數(shù)是否為All,這時�,你可以新建一個目錄,在里面寫一個.htaccess文件�,文件中隨意寫入一些服務(wù)器看不懂的東西,然后訪問該目錄里的一個頁面�,耐心等待500錯誤的出現(xiàn)。
如果沒有出現(xiàn)����,那么.htaccess沒有被啟用,你需要向你的服務(wù)供應(yīng)商尋求幫助;如果出現(xiàn)了����,那么恭喜你,你可以對當(dāng)前目錄重寫Apache配置����。
/!\注意:.htaccess語法錯誤可能會影響整個站點(diǎn)�����,如果你不確定這樣做是否安全�����,請聯(lián)系你的云服務(wù)供應(yīng)商��。
4.有用的文檔
二���、.htaccess訪問控制(Allow/Deny)
1.訪問控制基礎(chǔ):Order命令
為了限制用戶訪問一些關(guān)鍵目錄�����,.htaccess可以提供目錄訪問限制�。你只需要在要限制的目錄中�,加入如下.htaccess文件:
# no one gets in here!
deny from all
這會限制所有用戶通過瀏覽器訪問該目錄����,這太一刀切了�����,因此我們還可以增加一些特定的條件�����,如允許指定IP地址的訪問:
Order Allow,Deny
Deny from All
Allow from 192.168.0.0/24
Order命令
Order命令是一個難點(diǎn)����,也是配置apache的基礎(chǔ),它決定了Apache處理訪問規(guī)則的順序���。
- 通過Allow,Deny參數(shù)���,Apache首先找到并應(yīng)用Allow命令,然后應(yīng)用Deny命令��,以阻止所有訪問�。
- 通過Deny,Allow參數(shù),Apache首先找到并應(yīng)用Deny命令,然后應(yīng)用Allow命令�����,以允許所有訪問����。
了解Order的用法后,再仔細(xì)考慮下上面的例子����,你或許能夠發(fā)現(xiàn)Deny命令是多余的���,以下用法和之前的描述語義相同:
Order Allow,Deny
Allow from 192.168.0/24
2.利用.htaccess過濾域名或網(wǎng)絡(luò)主機(jī)(Allow/Deny)
下例可以限制所有含有“domain.com”的網(wǎng)絡(luò)主機(jī)訪問網(wǎng)站:
Order Allow,Deny
Allow from all
Deny from .*domain\.com.*
{!}Info:有關(guān)htaccess的正則表達(dá)式用法�����,請查閱本站《.htaccess正則表達(dá)式》一文���。
3.利用.htaccess禁止訪問指定文件(Files)
Files命令可以用于過濾指定文件:
# secure htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
4.利用.htaccess禁止訪問指定文件類型(FilesMatch)
下面的代碼將限制訪問所有.log和.exe文件:
<FilesMatch ".(log|exe)$">
Order allow,deny
Deny from all
</FilesMatch>
我們還可以通過Files命令描述文件類型,但是需要在命令后面加一個波浪線(~)�����,該符號啟用Files命令的正則表達(dá)解析功能:
<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">
Order allow,deny
Deny from all
Satisfy All
</Files>
有以下幾點(diǎn)需要讀者注意:
- Files之后的波浪線用于開啟“正則表達(dá)式”分析。請注意�����,這是個過時的用法�,Apache更推薦使用<FilesMatch>指令[3]
- 正則表達(dá)式必須在雙引號之間,有關(guān)htaccess的正則表達(dá)式用法�,請查閱本站《.htaccess正則表達(dá)式》一文。
- 雙引號中的“管道符”(|)用于將兩種文件類型(.log和.exe)分開�,相當(dāng)于邏輯“或”
- Order命令必須嵌在Files節(jié)(Section)中,否則將會應(yīng)用到所有文件
- Satisfy All表示必須同時滿足主機(jī)級別(Allow/Denay)和用戶級別(Require)的限制��,All是默認(rèn)值�����,該行可以省略��。
5.高級訪問控制(Rewrite)
我們還可以通過運(yùn)用Rewrite實(shí)現(xiàn)更強(qiáng)大的訪問控制�,但是Rewrite不是本文討論的內(nèi)容。讀者可以參看:利用RewriteCond和RewriteRule進(jìn)行訪問控制一文��。
三����、利用.htaccess進(jìn)行密碼保護(hù)與驗(yàn)證
1.配置.htaccess
AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/var/www/html/.htpasses
require valid-user
這個配置文件可以保護(hù).htaccess所在的整個目錄�,簡單說明下參數(shù):
- AuthType:驗(yàn)證類型為基本類型����,密碼以明文方式傳輸?shù)椒?wù)器上
- AuthName:驗(yàn)證提示,會出現(xiàn)在驗(yàn)證對話框中
- AuthUserFile:驗(yàn)證配置文件���,用于匹配用戶名與密碼���,該密碼是加密保存的
- require valid-user:只有在AuthUserFile中出現(xiàn)的用戶才可以通過驗(yàn)證
如果驗(yàn)證失敗,則會出現(xiàn)401錯誤���。
2.生成.htpasses文件
如何生成.htpasses文件呢�?我們通過htpasswd命令生成密碼文件:
htpasswd -c /usr/local/var/www/html/.htpasses lesca
它會提示你輸入密碼����,并確認(rèn)��。之后將密碼文件.htpasses保存在/usr/local/var/www/html/目錄下�����。
3.對文件進(jìn)行密碼保護(hù)
保護(hù)與.htaccess在同一目錄下的文件secure.php:
# password-protect single file
<Files secure.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>
保護(hù).htaccess所在目錄下的多個文件:
# password-protect multiple files
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>
4.對指定IP進(jìn)行密碼保護(hù)
僅允許IP地址為99.88.77.66的主機(jī)直接訪問該目錄����,其他IP需要驗(yàn)證�。
AuthType Basic
AuthName "Personal"
AuthUserFile /home/path/.htpasswd
Require valid-user
Allow from 99.88.77.66
Satisfy Any
5.安全性
出于安全考慮�,將.htpasses文件存放在WEB目錄樹之外也許是個好方法,但是由于.htpasses是隱藏文件����,而且Apache不會輸出隱藏文件,因此可以滿足基本的安全要求��。這是通過在主配置文件中加入如下限制實(shí)現(xiàn)的:
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
一般而言���,這是默認(rèn)設(shè)置����,用戶無需手動添加�����。我們唯一需要擔(dān)心的是密碼在網(wǎng)絡(luò)傳輸過程中是明文形式���,這很容易被黑客破譯���。Coz[1]提供了一個開源項(xiàng)目Pajamas可以在本地利用JS對密碼進(jìn)行MD5加密�����,有興趣的讀者可以前去研究一下��。
四�����、目錄瀏覽與主頁
如果你打開本站的下載頁面http://download./����,就會發(fā)現(xiàn)你可以看見這個站點(diǎn)下的所有文件�����。像這樣的特性也可以通.htaccess來設(shè)置用戶是否有權(quán)限瀏覽服務(wù)器目錄�。
1.啟用目錄瀏覽
# enable directory browsing
Options All +Indexes
2.禁用目錄瀏覽
# disable directory browsing
Options All -Indexes
我們還可以通過IndexIgnore指令來禁用目錄瀏覽。
# prevent folder listing
IndexIgnore *
通過IndexIgnore指令��,我們可以禁止對指定類型的文件瀏覽:
# prevent display of select file types
IndexIgnore *.wmv *.mp4 *.avi *.etc
3.自定義目錄瀏覽
如果你希望Apache在展示你的WEB目錄時看起來與眾不同����,那么你需要啟用FancyIndexing選項(xiàng):
<IfModule mod_autoindex.c>
IndexOptions FancyIndexing
</ifModule>
通過這個選項(xiàng)���,你可以實(shí)現(xiàn)自定義圖標(biāo)��、添加文件類型描述���、按日期排序等����。但是這些已經(jīng)超過了本文的討論范圍�����,Lesca可以給你一個做好的例子����,你可以在這頁查看效果。
4.配置目錄主頁文件
即使啟用了目錄瀏覽���,Apache未必會展示該目錄的內(nèi)容����,因?yàn)樵撃夸浛赡艽嬖谙駃ndex.htm這樣的默認(rèn)主頁文件����。Apache會有限展示主頁文件�,我們可以通過.htaccess設(shè)置:
DirectoryIndex index.html index.php index.htm
5.配置錯誤頁面
如果Apache遇到錯誤���,就會輸出錯誤頁面���。配置自定義的錯誤頁面,也許可以挽留即將離開的用戶�����。
# custom error documents
ErrorDocument 401 /err/401.php
ErrorDocument 403 /err/403.php
ErrorDocument 404 /err/404.php
ErrorDocument 500 /err/500.php
五�����、URL重寫與URL重定向
下一篇文章�����,我們將介紹htaccess的重頭戲:URL重寫與URL重定向
References:
[1] .htaccess tips and tricks
[2] Stupid htaccess Tricks
[3] Files Directive
