天天看點
傳回

11.25 配置防盜鍊 11.26 通路控制Directory 11.27 通路控制FilesMatch

11.25 配置防盗链

防盗链的功能可以通过限制referer来实现,不是本机服务器所认识的referer,不允许第三方服务器通过链接引用跳转至本机服务器进行访问。

修改虚拟主机配置文件 

<Directory /data/wwwroot/def.com>                               //定义访问目录
        SetEnvIfNoCase Referer "http://def.com" local_ref       //设置referer白名单
        SetEnvIfNoCase Referer "http://www.def.com" local_ref   //设置referer白名单
        SetEnvIfNoCase Referer "^$" local_ref                   //设置referer白名单(空regerer)
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">          //定义防盗链需要防护的文件类型
            Order Allow,Deny                                    //访问控制规则
            Allow from env=local_ref
        </filesmatch>
</Directory>

空referer:直接在浏览器输入目的域名,则referer为空。

结果测试

11.25 配置防盜鍊 11.26 通路控制Directory 11.27 通路控制FilesMatch

从浏览器直接访问时(空referer),访问正常

11.25 配置防盜鍊 11.26 通路控制Directory 11.27 通路控制FilesMatch
11.25 配置防盜鍊 11.26 通路控制Directory 11.27 通路控制FilesMatch

经过博客网站进行访问时,博客网站域名没有加入网站白名单,防盗链生效,访问被拒绝

curl -e "http://www.qq.com/123.html" -x 192.168.88.5:80 def.com/test.txt -I

HTTP/1.1 403 Forbidden
Date: Sun, 03 Jun 2018 09:19:19 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.32
Content-Type: text/html; charset=iso-8859-1

curl -e可以自定义referer,进行模拟测试。

11.26 访问控制Directory

访问控制可以限制一些白名单IP,只有白名单上的IP才可以进行正常访问,否则全部拒绝

修改虚拟主机配置文件 

<Directory /data/wwwroot/def.com/admin/>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
</Directory>

Order用于定义顺序,上述文件中的顺序为先deny(禁止)后allow(允许),并且和防火墙规则匹配机制不同的是,下方具体规则的先后顺序和真正执行的顺序无关,且会按照从先至后依次全部匹配,按照上述文件的策略顺序,最终只有源IP为127.0.0.1才可以正常访问。

结果测试 

[root@linux-5 admin]# curl -x 127.0.0.1:80 def.com/admin/test.php -I
HTTP/1.1 200 OK
Date: Sun, 03 Jun 2018 11:30:16 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.32
X-Powered-By: PHP/5.6.32
Cache-Control: max-age=0
Expires: Sun, 03 Jun 2018 11:30:16 GMT
Content-Type: text/html; charset=UTF-8

[root@linux-5 admin]# curl -x 192.168.88.5:80 def.com/admin/test.php -I
HTTP/1.1 403 Forbidden
Date: Sun, 03 Jun 2018 11:30:27 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.32
Content-Type: text/html; charset=iso-8859-1

虽然-x选项后面的IP地址为目的IP,但是127.0.0.1为主机回环IP,访问时也需要用127.0.0.1作为源IP进行访问,因此满足条件,可以正常访问。同理访问外部网卡地址也需要用外部网卡IP进行访问,不满足访问控制条件,因此无法访问。

11.27 访问控制FilesMatch

有时只需要限制某些访问链接,且访问链接中含有一些特殊符号(?、&等),对整个目录进行限制较不合理,可以使用FilesMatch进行限制。

修改虚拟主机配置文件 

<Directory /data/wwwroot/def.com>
        <FilesMatch  "admin.php(.*)">
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
        </FilesMatch>
 </Directory>

使用.*代指PHP文件后所有特殊符号

测试结果  

[root@linux-5 admin]# curl -x 192.168.88.5:80 def.com/admin.php? -I
HTTP/1.1 403 Forbidden
Date: Sun, 03 Jun 2018 11:58:16 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.32
Content-Type: text/html; charset=iso-8859-1

[root@linux-5 admin]# curl -x 127.0.0.1:80 def.com/admin.php? -I
HTTP/1.1 200 OK
Date: Sun, 03 Jun 2018 11:58:34 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.32
X-Powered-By: PHP/5.6.32
Cache-Control: max-age=0
Expires: Sun, 03 Jun 2018 11:58:34 GMT
Content-Type: text/html; charset=UTF-8
php 白名單 html
上一篇: 常用的檔案格式
下一篇: 10以内的素數2,3,5,7的和為17。要求計算得出任意正整數n以内的所有素數的和。...

繼續閱讀