本篇也是轉貼的,值得參考


.htaccess使用指南

Apache服務器的.htaccess是一個非常強大的分佈式配置文件,學會使用.htaccess,對虛擬主機用戶來說,可以實現眾多的功能。這裡有一篇很容易理解的.htaccess介紹,作為入門文章非常的適合。文章最初來自freewebmasterhelp.comQiRan作了簡單的中文翻譯,我將加以完善。

  • Part 1 – 介紹
  • Part 2 - .htaccess命令
  • Part 3 - 密碼保護

Part 1 - 介紹

介紹

從 本指南中,你將可以學習到有關.htaccess文件及其功能的知識,並用以優化你的網站。儘管.htaccess只是一個文件,但它可以更改服 務器的設置,允許你做許多不同的事情,最流行的功能是您可以創建自定義的「404 error」頁面。.htaccess並不難於使用,歸根結底,它只是在一個text文檔中添加幾條簡單的指令而已。

我的主機支持它嗎?

這 可能很難用簡單的答案來回答。許多主機支持.htaccess,但實際上並不會特別聲明,許多其他類型的主機有能力但並不允許他們的用戶使用. htaccess。一般來說,如果你的主機使用Unix或Linux系統,或任何版本的Apache網絡服務器,從理論上都是支持.htaccess的, 儘管你的主機服務商可能不允許你使用它。

判斷你的主機是否允許.htaccess,一個標誌很好的是它是否支持文件夾密碼保護。為達到此 功能,主機服務商需要使用.htaccess(當 然,少數情況下他們雖提供密碼保護功能,但卻並不允許你使用.htaccess)。如果你不確定自己的主機是否支持.htaccess,最好的辦法是上傳 你自己的.htaccess文件看看是否有用,或者直接發送郵件向你的主機服務商諮詢。

我該怎麼做?

你可能疑惑.htaccess到底能做些什麼,或者你可能曾知道它的一些功能但並不真正瞭解你實際到底可以用它來做多少事情。

.htaccess可以做大量的事情,包括:文件夾密碼保護、用戶自動重定向、自定義錯誤頁面、改變你的文件擴展名、封禁特定IP地址的用戶、只允許特定IP地址的用戶、禁止目錄列表,以及使用其他文件作為index文件。

創建一個.htaccess文檔

創 建.htaccess文件也許會給你帶來一些困難。寫文件很容易,你只需要在文字編緝器(例如:寫字板)裡寫下適當的代碼。真正困難的可能是文件 的保存,因為.htaccess是一個古怪的文件名(它事實上沒有文件名,只有一個由8個字母組成的擴展名),而在一些系統(如Windows 3.1)中無法接受這樣的文件名。在大多數的操作系統中,你需要做的是將文檔保存成名為:

「.htaccess」

(包括引號)。如果這也不行,你需要將其先命名為其它名字(例如htaccess.txt),再將其上傳到服務器上,之後直接使用FTP軟件來重命名。

警告

在 使用.htaccess之前,我必須給你一些警告。雖然在服務器上使用.htaccess絕對不太可能給你帶來任何麻煩(如果有些東西錯了,它只 是沒效用罷了),但如果你使用Microsoft FrontPage Extensions,就必須特別小心。因為FrontPage Extensions本身使用了.htaccess,因此你不能編輯它並加入你自己的信息。如果確實有這方面的需要(並不推薦,但是可能),你應該先從服 務器上下載.htaccess文檔(如果存在),之後在前面加上你的代碼。

自定義錯誤頁

我 要介紹的.htaccess的第一個應用是自定義錯誤頁面,這將使你可以擁有自己的、個性化的錯誤頁面(例如找不到文件時),而不是你的服務商提 供的錯 誤頁或沒有任何頁面。這會讓你的網站在出錯的時候看上去更專業。你還可以利用腳本程序在發生錯誤的時候通知你(例如我使用Free Webmaster Help的PHP腳本程序,當找不到頁面的時候自動Email給我)。

你所知道的任何頁面錯誤代碼(像404找不到頁面),都可以通過在.htaccess文件裡加入下面的文字將其變成自定義頁面:

ErrorDocument errornumber /file.html

舉例來說,如果我的根目錄下有一個notfound.html文件,我想使用它作為404 error的頁面:

ErrorDocument 404 /notfound.html

如果文件不在網站的根目錄下,你只需要把路徑設置為:

ErrorDocument 500 /errorpages/500.html

以下是一些最常用的錯誤:

401 - Authorization Required 需要驗證
400 - Bad request 錯誤請求
403 - Forbidden 禁止
500 - Internal Server Error 內部服務器錯誤
404 - Wrong page 找不到頁面

接下來,你要做的只是創建一個錯誤發生時顯示的文件,然後把它們和.htaccess一起上傳。

Part 2 - .htaccess命令

介紹

在上一部分,我已經簡單介紹了.htaccess以及它的一些有用功能,在這一部分,我將向你演示如何使用.htaccess文檔去實現這些功能。

停示顯示目錄列表

有些時候,由於某種原因,你的目錄裡沒有index文件,這意味著當有人在瀏覽器地址欄鍵入了該目錄的路徑,該目錄下所有的文件都會顯示出來,這會給你的網站留下安全隱患。

為避免這種情況(而不必創建一堆的新index文件),你可以在你的.htaccess文檔中鍵入以下命令,用以阻止目錄列表的顯示:

Options -Indexes

阻止/允許特定的IP地址

某 些情況下,你可能只想允許某些特定IP的用戶可以訪問你的網站(例如:只允許使用特定ISP的用戶進入某個目錄),或者想封禁某些特定的IP地址 (例如:將低級用戶隔離於你的信息版面外)。當然,這只在你知道你想攔截的IP地址時才有用,然而現在網上的大多數用戶都使用動態IP地址,所以這並不是 限制使用的常用方法。

你可以使用以下命令封禁一個IP地址:

deny from 000.000.000.000

這裡的000.000.000.000是被封禁的IP地址,如果你只指明了其中的幾個,則可以封禁整個網段的地址。如你輸入210.10.56.,則將封禁210.10.56.0~210.10.56.255的所有IP地址。

你可以使用以下命令允許一個IP地址訪問網站:

allow from 000.000.000.000

被允許的IP地址則為000.000.000.000,你可以像封禁IP地址一樣允許整個網段。

如果你想阻止所有人訪問該目錄,則可以使用:

deny from all

不過這並不影響腳本程序使用這個目錄下的文檔。

替換index文件

也 許你不想一直使用index.htm或index.html作為目錄的索引文件。舉例來說,如果你的站點使用PHP文件,你可能會想使用 index.php來作為該目錄的索引文檔。當然也不必侷限於「index」文檔,如果你願意,使用.htaccess你甚至能夠設置 foofoo.balh來作為你的索引文檔!

這些互為替換的索引文件可以排成一個列表,服務器會從左至右進行尋找,檢查哪個文檔在真實的目錄中存在。如果一個也找不到,它將會把目錄列表顯示出來(除非你已經關閉了顯示目錄文件列表)。

DirectoryIndex index.php index.php3 messagebrd.pl index.html index.htm

重定向

.htaccess 最有用的功能之一就是將請求重定向到同站內或站外的不同文檔。這在你改變了一個文件名稱,但仍然想讓用戶用舊地址訪問到它時,變 的極為有用。另一個應用(我發現的很有用的)是重定向到一個長URL,例如在我的時事通訊中,我可以使用一個很簡短的URL來指向我的會員鏈接。以下是一 個重定向文件的例子:

Redirect /location/from/root/file.ext http://www.othersite.com/new/file/location.xyz

上述例子中,訪問在root目錄下的名為oldfile.html可以鍵入:

/oldfile.html

訪問一個舊次級目錄中的文件可以鍵入:

/old/oldfile.html

你 也可以使用.htaccess重定向整個網站的目錄。假如你的網站上有一個名為olddirectory的目錄,並且你已經在一個新網站 http://www.newsite.com/newdirectory/上建立了與上相同的文檔,你可以將舊目錄下所有的文件做一次重定向而不必一一 聲明:

Redirect /olddirectory http://www.newsite.com/newdirectory

這樣,任何指向到站點中/olddirectory目錄的請求都將被重新指向新的站點,包括附加的額外URL信息。例如有人鍵入:

http://www.youroldsite.com/olddirecotry/oldfiles/images/image.gif

請求將被重定向到:

http://www.newsite.com/newdirectory/oldfiles/images/image.gif

如果正確使用,此功能將極其強大。

Part 3 – 密碼保護

Introduction 介紹

儘管有各種各樣的.htaccess用法,但至今最流行的也可能是最有用的做法是將其用於網站目錄可靠的密碼保護。儘管JavaScript等也能做到,但只有.htaccess具有完美的安全性(即訪問者必須知曉密碼才可以訪問目錄,並且絕無「後門」可走)。

密碼保護的.htaccess文件

利用.htaccess將一個目錄加上密碼保護分兩個步驟。第一步是在你的.htaccess文檔裡加上適當的幾行代碼,再將.htaccess文檔放進你要保護的目錄下:

AuthName 「Section Name」
AuthType Basic
AuthUserFile /full/path/to/.htpasswd
Require valid-user

你可能需要根據你的網站情況修改一下上述內容中的一些部分,如用被保護部分的名字」Members Area」,替換掉「Section Name」。

/full/parth/to/.htpasswd則應該替換為指向.htpasswd文件(後面詳述該文檔)的完整服務器路徑。如果你不知道你網站空間的完整路徑,請詢問一下你的系統管理員。

密碼保護的.htpasswd文件

目 錄的密碼保護比.htaccess的其他功能要麻煩些,因為你必須同時創建一個包含用戶名和密碼的文檔,用於訪問你的網站,相關信息(默認)位於 一個名為.htpasswd的文檔裡。像.htaccess一樣,.htpasswd也是一個沒有文件名且具有8位擴展名的文檔,可以放置在你網站裡的任 何地方(此時密碼應加密),但建議你將其保存在網站Web根目錄外,這樣通過網絡就無法訪問到它了。

輸入用戶名和密碼

創建好.htpasswd文檔後(可以通過文字編輯器創建),下一步是輸入用於訪問網站的用戶名和密碼,應為:

username:password

「password」 的位置應該是加密過的密碼。你可以通過幾種方法來得到加密過的密碼:一是使用一個網上提供的permade腳本或自己寫一個; 另一個很不錯的username/password加密服務是通過KxS網站,這裡允許你輸入用戶名及密碼,然後生成正確格式的密碼。

對於多用戶,你只需要在.htpasswd文檔中新增同樣格式的一行即可。另外還有一些免費的腳本程序可以方便地管理.htpasswd文檔,可以自動新增/移除用戶等。

訪問網站

當你試圖訪問被.htaccess密碼保護的目錄時,你的瀏覽器會彈出標準的username/password對話窗口。如果你不喜歡這種方式,有些腳本程序可以允許你在頁面內嵌入username/password輸入框來進行認證,你也可以在瀏覽器的URL框內以以下方式輸入用戶名和密碼(未加密 的):

http://username:password@www.website.com/directory/

小結

.htaccess是一個站點管理員可以應用的強大工具,有更多的變化以適應不同的用途,可以節約時間及提高網站的安全性。

相關閱讀:

.htaccess的特別說明

  • 啟用.htaccess,需要修改httpd.conf,啟用AllowOverride,並可以用AllowOverride限制特定命令的使用
  • 如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令來改變。例如,需要使用.config ,則可以在服務器配置文件中按以下方法配置:

    AccessFileName .config

  • 一 般情況下,不應該使用.htaccess文件,除非你對主配置文件沒有訪問權限。有一種很常見的誤解,認為用戶認證只能通過.htaccess 文件實現,其實並不是這樣,把用戶 認證寫在主配置文件中是完全可行的,而且是一種很好的方法。.htaccess文件應該被用在內容提供者需要針對特定目錄改變服務器的配置而又沒有 root權限的情況下。如果服務器管理員不願意頻繁修改配置,則可以允許用戶通過.htaccess文件自己修改配置,尤其是ISP在同一個機器上運行了 多個用戶站點,而又希望用戶可以自己改變配置的情況下。雖然如此,一般都應該儘可能地避免使用.htaccess文件。任何希望放在.htaccess文 件中的配置,都可以放在主配置文件的<Directory>段中,而且更高效。避免使用.htaccess文件有兩個主要原因,即性能和安 全。

(本文由Just平生一笑創作)

創作者介紹

胖虎的祕密基地

idobest 發表在 痞客邦 PIXNET 留言(0) 人氣()