如何应用份认证模块和.htaccess文件保证Web安全

Posted 2023-05-01

参考技术A 　　要限制对一个网页的访问，可使用Apache和第三方提供的身份认证模块和方法来验证用户的凭据(如用户名和密码)。一些模块支持通过各种数据库(包括NIS和LDAP)进行身份认证。
　　用户认证指令通常放置在.htaccess文件中。下面是使用Apache默认身份认证模块(mod_auth)的一个基本.htaccess文件。当这个文件放置在/var/www中时，会导致Apache要求用户输入密码进行验证，然后浏览器才能访问/var/www目录层次结构中的内容。应用时，要用本地服务器的相应值进行替换。
　　#
cat
.htaccess
　　AuthUserFile
/var/www/.htpasswd
　　AuthGroupFile
/dev/null
　　AuthName
"Browser
dialog
box
query"
　　AuthType
Basic
　　require
valid-user
　　/var/www/.htpasswd是一个.htpasswd文件的典型绝对路径名，用户在要求输入用户名和密码的对话框中会看到字符串Browser
dialog
box
query。
　　前面.htaccess文件的第二行关闭组功能。第四行指定用户的身份认证类型为Basic，这也是mod_auth模块的默认设置。最后一行告诉Apache哪些用户可以访问受保护的目录。valid-user条目会授权任何用户(用户名在Apache密码文件中并且输入的密码正确)访问该目录。
　　只要Apache可以读取其密码文件，该文件可放在系统上的任何地方。把这个文件与.htaccess文件放在同一目录下也是安全的，因为默认情况下，Apache将不会对名字以.ht开头的任何文件的请求进行回复。但是一定不要更改httpd.conf配置文件，以防Apache对名字以.ht开头的文件的请求进行回复。
　　下面的命令将在工作目录中创建(–c)一个带有Sam条目的.htpasswd文件。省略–c选项可以在现有.htpasswd文件中添加用户或更改密码。
　　$
htpasswd
-c
.htpasswd
sam
　　New
password:
　　Re-type
new
password:
　　Adding
password
for
user
sam
　　默认的httpd.conf文件包括用于/var/www的AllowOverride
None指令。要启用Apache来处理用户认证指令(如读取.htaccess文件)，必须将这个指令更改为AllowOverride
AuthConfig或将其删除。
　　在Apache已配置为可处理.htaccess文件后，当它收到对文件的请求时，必须从所请求的文件向上遍历目录层次结构一直到根目录，查找.htacess文件，以确定它是否可以提供该请求的文件。此搜索可能会影响性能。通常情况下性能下降不太严重，但如果性能很关键，则这个问题将很棘手。

.htaccess基本语法和应用?(2012-11-09 16:13:47)转载▼

htaccess基本语法和应用

 (2012-11-09 16:13:47)

转载▼

标签：  htaccess   it

分类： 网络

.htaccess是Apache服务器的一个非常强大的分布式配置文件。 正确的理解和使用.htaccess文件，可以帮助我们优化自己的服务器或者虚拟主机。

如何启用htaccess 以windows为例，进入apache/conf目录，找到httpd.conf文件，去掉 LoadModule rewrite_module modules/mod_rewrite.so 前面的#，然后设置目录属性AllowOverride All，重启apache即可

常见格式

下面是一个典型的htaccess文件

# 开启URL重写
RewriteEngine on
# URL重写的作用域
# RewriteBase /path/to/url
# 满足怎样的条件
RewriteCond %{HTTP_HOST} !^www\\.example\\.com$ [NC]

# 应用怎样的规则
RewriteRule .? http://www.example.com%{REQUEST_URI} [R=301,L]

来看看RewriteCond，首先有一个%，因为{HTTP_HOST}是一个apache变量，需要用%来指示。从!开始就是匹配的条件，支持 正则。!表示不等于，这句话的意思就是：如果HTTP_HOST不是www.example.com。后面的[NC](no case)表示忽略大小写，常见的还有

• [L](last)：终止一系列的RewriteCond和RewriteRule
• [R](redirect)：触发一个显示的跳转，也可以指定跳转类型，如[R=301]
• [F](forbidden)：禁止查看特定文件，apache会触发403错误

典型应用

图片防盗链

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\\.)?example\\.com/ [NC]
RewriteRule \\.(gif|jpg|png)$ - [F]

由于是基于HTTP_REFERER的验证，所以只能防止一般的图片盗链，因为HTTP_REFERER是比较容易伪造的

自定义404错误页面
如果用户输入了一个不存在的url，那么就显示自定义的错误页面

ErrorDocument 404 /404.html
# 其他同理
ErrorDocument 500 /500.html

处理移动过的文件

Redirect 301 /old.html http://yoursite.com/new.html
# 也可以是下面这样
RewriteRule /old.html http://yoursite.com/new.html [R=301,L]
# 如果想隐式跳转(URL地址不变，但实际上内容是其他URL的)，就使用下面的
RewriteRule /old.html http://yoursite.com/new.html [L]

对于RewriteRule还有好多文章可以做，比如

# 把html后缀的url链接到php文件
# $1指代的是前面第1个用括号括起来的内容
RewriteRule ^/?([a-z/]+)\\.html$ $1.php [L]
# 或者把旧文件夹的内容链接到新文件夹
RewriteRule ^/?old_directory/([a-z/.]+)$ new_directory/$1 [R=301,L]
# 隐藏文件名
RewriteRule ^/?([a-z]+)$ $1.php [L]禁止显示目录列表

如果目录里没有index文件，又没有对该目录做过特别的处理，尤其是windows主机，那么该目录里的内容就会显示出来，这时可以在根目录创建 一个.htaccess文件，然后写上

Options -Indexes
# 就这么一句就搞定了

阻止/允许特定IP/IP段

# 禁止所有IP，除了指定的
order deny,allow
deny from all
# 如果想允许IP段，如123.123.123.0 ~ 123.123.123.255，则
# allow from 123.123.123.
allow from 123.123.123.123
 
ErrorDocument 403 /page.html
 

allow from all

 
#如果想禁止特定IP
deny from 123.123.123.123

添加MIME类型

AddType video/x-flv .flv
# 如果设置类型为 application/octet-stream 将提示下载
AddType application/octet-stream .pdf

来源： http://blog.sina.com.cn/s/blog_6e8b46e701014drc.html

null