返回
基于.htaccess的网站安全应用研究

基于.htaccess的网站安全应用研究

ID:10062341

大小:28.50 KB

页数:5页

时间:2018-05-23

基于.htaccess的网站安全应用研究_第1页
基于.htaccess的网站安全应用研究_第2页
基于.htaccess的网站安全应用研究_第3页
基于.htaccess的网站安全应用研究_第4页
基于.htaccess的网站安全应用研究_第5页
资源描述:

《基于.htaccess的网站安全应用研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于.htaccess的网站安全应用研究摘要:对于大多数使用Linux虚拟主机下的Apache环境部署网站的管理人员来说,因缺乏相应的root权限而使得其对网站的安全维护成为重点工作之一。本文将介绍如何利用该环境下的分布式配置文件.htaccess来改变服务器的配置而最终达到保护网站安全的目的。关键词:htaccess;Apache;网站安全中图分类号:TP399在Internet上广泛部署WEB服务是现今信息传播的最主要途径,而基于此类应用的Linux加Apache的组合因其出色的表现,在众多WEB服务虚拟主机环境配置中占据着

2、极大的市场份额。而基于网站集群管理的WEB服务提供商往往基于统筹策略给予客户有限的主机管理权限,此时网站的设计与管理人员则可以通过.htaccess文件自己修改服务器配置实现权限控制保护网站安全。使用.htaccess方式不需要编写程序就能方便实现,只需掌握特定的配置指令及rewrite规则即可。1.htaccess文件与rewrite规则定义5.htaccess文件是Apache服务器上的一个基于文本的分布式配置文件,它提供了针对目录改变配置的方法,常用在内容提供者需要针对特定目录改变服务器的配置而又没有root权限的情况下,

3、通过自行修改该文件实现权限控制。Rewrite规则主要的功能就是实现URL的跳转,它的正则表达式是基于Perl语言,可基于服务器级和目录级两种方式,本文我们讨论的是后者。2Apache下的PHP执行权限控制网站安全策略中,对目录的执行权限是非常敏感的,一般来说,对于可写入的目录是禁用脚本执行权限的,像DedeCMS系统,可写入的有两个目录datth/(.*).(php)$�[F]其中,方括号表示代码行序号,在规则书写时切记去掉,代码行[1]表示启用rewrite开关,可不必重复书写,以下类同。将上述代码存储至到.hatccess

4、文件并保存到对应的filePath站点目录下,这样filePath目录下的php脚本(如上例)的执行权限就禁止了。3防止站内资源盗用5现在互联网上原创的内容被转载、盗链的现象很普遍,为有效防止盗链,挤占服务器带宽,以及一定程度保护站内资源版权,可通过.htaccess名来源,为保障搜索引擎收录及本地站点调用,用户可自行扩展,例如可另起多行,将百度、谷歌、雅虎及本地域名等设置其中。代码行[3]表示将外链的图片资源文件替换为指定路径下的特定图片,这里需要注意的是替换图片建议为非本站的图片文件,否则会造成死循环。对于其他类型的资源保护

5、,用户可根据实际情况变更代码行[3]的文件类型即可。4自定义错误页当我们访问某网站时,不合理的访问,或者网站自身的问题,会出现各种的错误返回页面。从安全角度上讲,这就给攻击者提供了某种判断的依据,为了防止这种情况,我们同样可借助.htaccess来控制错误的处理方法。HTTP协议错误定位在400到505之间,正因为这些错误被标准化,WEB服务器处理错误的方法最终就取决于网络管理员,使得其可以拥有自己的、个性化的错误页面(例如找不到文件时),而不是服务商提供的默认页。配置错误页的重定向语法如下:[1]ErrorDocument[e

6、rrorcode][url][errorcode]为错误代码,[url]可自定义为任意一个有效的网络地址。举例来说,如果我的根目录下有一个notfound.html文件,我想使用它作为404error的页面:ErrorDocument404/notfound.html错误代码可参考相关书籍描述,接下来,你要做的只是创建一个错误发生时显示的指向页面文件,然后把它们和.htaccess一起上传。5目录的密码访问保护5要使用.htaccess进行网站目录密码保护主要分为2个步骤,即配置.htaccess文件和创建.htpasswd密码

7、文件。定义如下:[1]AuthName“SectionName”[2]AuthTypeBasic[3]AuthUserFile/full/path/to/.htpasswd[4]Requirevalid-userSectionName出现在弹出的密码输入框中,我们可以自己定义,/full/path/to/.htpasswd是我们第二步密码文件.htpasswd的绝对路径,建议将该密码配置文件置于站点之外的目录,可防止他人通过浏览器的方式恶意获取。密码文件的内容格式为user:password,密码部分必须为加密的格式。当你试图访

8、问被.htaccess密码保护的目录时,你的浏览器会弹出标准的账号、密码对话窗口。6来访IP的筛选处理由于网站的特殊发布环境,管理员可能限制某些特定IP的用户访问指定的内容,或者想封禁某些指定IP地址段。.htaccess对指定IP进行限制访问在做网站优化以及网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。