一、配置防盗链
实例:
假如你维护一个免费的论坛网站,是可以免费发图片的,有一个国外的恶意网站,把图片发在你的网站里,且在自己的网站里放入他在你网站发图的链接,这样在他的网站里就可以直接跳转到你的网站来访问图片,这样增加了自己网站的带宽,但是没有实质意义,因为自己的用户量并没有增长,怎么限制这种行为呢,是通过限制Referer(上一次访问的网站)来实现。
修改虚拟配置文件;
[root@abc 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
增加以下内容
<Directory /data/wwwroot/111.com> (需要定义防盗链的目录)
SetEnvIfNoCase Referer "http://111.com" local_ref referer白名单
SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref
SetEnvIfNoCase Referer "^$" local_ref 空referer也设置白名单
<FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)"> 这些访问不要设置白名单
Order Allow,Deny 定义顺序,先允许白名单访问,剩下的给deny掉
Allow from env=local_ref
</FilesMatch>
</Directory>
检查语法错误且重新启动
[root@abc 111.com]# curl -e "http:www.qq.com/1.txt"-x127.0.0.1:80 111.com/1.png -I
HTTP/1.1 403 Forbidden
Date: Sun, 26 Nov 2017 08:50:30 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
没有设置referer白名单的www.qq.com被403拒绝
[root@abc 111.com]# curl -e "http://ask.apelearn.com"-x127.0.0.1:80 111.com/1.png -I
HTTP/1.1 200 OK
Date: Sun, 26 Nov 2017 08:50:38 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Last-Modified: Sun, 26 Nov 2017 07:07:52 GMT
ETag: "7913-55edd71b4a200"
Accept-Ranges: bytes
Content-Length: 30995
Content-Type: image/png
设置了http://ask.apelearn.com白名单的被允许访问200
二、目录访问控制
访问控制目录,只有允许的源ip才能打开目录。其他的被deny
修改:
[root@abc 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/admin>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Directory>
Order 定义顺序。是先允许还是先访问,如果deny在前,则先执行下面deny开头的,如果allow在前,则执行allow开头的。例如这个配置文件写的是deny全部,如果把deny放在后面,则就算允许了127.0.0.1,后面还是会被deny掉
实验:
[root@abc 111.com]# curl -x127.0.0.1:80 111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: Sun, 26 Nov 2017 09:35:53 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
白名单的127.0.0.1被允许访问
[root@abc 111.com]# curl -x192.168.52.100:80 111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: Sun, 26 Nov 2017 09:35:54 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
没有白名单的192.168.52.100被deny
三、文件/链接访问控制
访问控制除了目录,还可以访问控制一个文件名/链接
修改:
[root@abc 111.com]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
<Directory /data/wwwroot/111.com/>
<FilesMatch admin.php(.*)>
Order deny,allow
Deny from all
Allow from 127.0.0.1
</FilesMatch>
</Directory>
加上FilesMatch admin.php(.*),表示在 /data/wwwroot/111.com/ 下匹配到的文件全部被控制访问
测试:
[root@abc admin]# curl -x192.168.52.100:80 111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: Sun, 26 Nov 2017 09:47:09 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
之前控制目录的index.php可以访问
[root@abc admin]# curl -x192.168.52.100:80 '111.com/admin/admin.php?sada' -I
HTTP/1.1 403 Forbidden
Date: Sun, 26 Nov 2017 09:48:33 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
目录下就没有访问的文件,但是显示403权限不够,说明403和404的区别,权限不够时就没有权利匹配或查看,所以不管文件是否真实存在
1205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
