.httacces文件的密码保护和防止盗链的实现方法
发布时间:2023-07-31 05:20:22
1.密码保护的.htaccess文件
尽管有各种各样的.htaccess用法,但至今最流行的也可能是最有用的做法是将其用于网站目录可靠的密码保护。尽管JavaScrip等也能做到,但只有.htaccess具有完美的安全性(即访问者必须知晓密码才可以访问目录,并且绝无“后门”可走)。
利用.htaccess将一个目录加上密码保护分两个步骤。第一步是在你的.htaccess文档里加上适当的几行代码,再将.htaccess文档放进你要保护的目录下:
AuthName “Section Name”
AuthType Basic
AuthUserFile /full/path/to/.htpasswd
Require valid-user
你可能需要根据你的网站情况修改一下上述内容中的一些部分,如用被保护部分的名字”Members Area”,替换掉“Section Name”。
/full/parth/to/.htpasswd则应该替换为指向.htpasswd文件(后面详述该文档)的完整服务器路径。如果你不知道你网站空间的完整路径,请询问一下你的系统管理员。
2.密码保护的.htpasswd文件
目录的密码保护比.htaccess的其他功能要麻烦些,因为你必须同时创建一个包含用户名和密码的文档,用于访问你的网站,相关信息(默认)位于一个名为.htpasswd的文档里。像.htaccess一样,.htpasswd也是一个没有文件名且具有8位扩展名的文档,可以放置在你网站里的任何地方(此时密码应加密),但建议你将其保存在网站Web根目录外,这样通过网络就无法访问到它了。1516501417
在使用.htaccess来设置目录的密码保护时,它包含了密码文件的路径。从安全考虑,有必要把.htaccess也保护起来,不让别人看到其中的内容。虽然可以用其他方式做到这点,比如文档的权限。不过,.htaccess本身也能做到,只需加入如下的指令:1516501417
order allow,deny
deny from all
3.配置 .htaccess 输入用户名和密码
要利用.htaccess对某个目录下的文档设定访问用户和对应的密码,首先要做的是生成一个.htpasswd的文本文档,例如:
forge:y4E7Ec8e7EwV
这里密码经过加密,用户可以自己找些工具将密码加密成.htaccess支持的编码。该文档最好不要放在www目录下,建议放在www根目录文档之外,这样更为安全些。
有了授权用户文档,可以在.htaccess中加入如下指令了:
AuthUserFile .htpasswd的服务器目录
AuthGroupFile /dev/null (需要授权访问的目录)
AuthName EnterPassword
AuthType Basic (授权类型)
require user wsabstract (允许访问的用户,如果希望表中所有用户都允许,可以使用 require valid-user)
注,括号部分为学习时候自己添加的注释
拒绝来自某个IP的访问
如果我不想某个政府部门访问到我的站点的内容,那可以通过.htaccess中加入该部门的IP而将它们拒绝在外。
例如:
order allow,deny
deny from 210.10.56.32
deny from 219.5.45.
allow from all
第二行拒绝某个IP,第三行拒绝某个IP段,也就是219.5.45.0~219.2.45.255
想要拒绝所有人?用deny from all好了。不止用IP,也可以用域名来设定。
创建好.htpasswd文档后(可以通过文字编辑器创建),下一步是输入用于访问网站的用户名和密码,应为:
username:password
“password”的位置应该是加密过的密码。你可以通过几种方法来得到加密过的密码:一是使用一个网上提供的permade脚本或自己写一个;另一个很不错的username/password加密服务是通过KxS网站,这里允许你输入用户名及密码,然后生成正确格式的密码。
对于多用户,你只需要在.htpasswd文档中新增同样格式的一行即可。另外还有一些免费的脚本程序可以方便地管理.htpasswd文档,可以自动新增/移除用户等。
4.配置.htaccess 直接访问加密网站
当你试图访问被.htaccess密码保护的目录时,你的浏览器会弹出标准的username/password对话窗口。如果你不喜欢这种方式,有些脚本程序可以允许你在页面内嵌入username/password输入框来进行认证,你也可以在浏览器的URL框内以以下方式输入用户名和密码(未加密的):
http://username:password@www.w3sky.com/directory/
5.利用 .htaccess 防止盗链
如果不喜欢别人在他们的网页上连接自己的图片、文档的话,也可以通过htaccess的指令来做到。
所需要的指令如下:
RewriteEngine on
RewriteCond %{ HTTP_REFERER } !^$
RewriteCond %{ HTTP_REFERER } !^http://(www.)?w3sky.com/.*$ [NC]
RewriteRule .(gif &line;jpg)$ - [F]
如果觉得让别人的页面开个天窗不好看,那可以用一张图片来代替:
RewriteEngine on
RewriteCond %{ HTTP_REFERER } !^$
RewriteCond %{ HTTP_REFERER } !^http://(www.)?w3sky.com/.*$ [NC]
RewriteRule .(gif &line;jpg)$ http://www.w3sky.com/替代图片文件名 [R,L]
猜你喜欢
- 日前赢时代网站头条刊出了一篇来自brafton网站的专栏文章。文章中认为搜索引擎优化将随着社交媒体的发展而变得更加复杂。随着越来越多的公司进
- 也许有用户在使用GoDaddy主机时,常会发送一些垃圾邮件,在此我建议大家还是不要发了。如果一旦被认定为发垃圾邮件,他们会在两天内转向,暂停
- 记住一句话:执行ASP程序的地方不允许写入文件;允许写入文件的地方不允许运行ASP程序.在IIS里,选择不允许写入文件的目录如上传图片的UP
- 不算前言的前言前两天小韩简单写了写关于在网站编程中跨站漏洞的一些知识,如果你还没有看到,那么为什么不现在就去看看呢:跨站漏洞解析-小韩网站编
- 你的网站是不是常常被黑,或者一不注意就成了黑客的“肉鸡”?对于Web网站服务器来说,如果不进行安全设置,很容易被黑客“盯上”,随时都有被入侵
- baidu好象最近又在跳舞了,动作之大,动作之频繁,可以说是史无前例。我新上的站,第一天25页,第二天70页,第三天1页,另外一个站第一天2
- 这是一个让很多站长费解的问题,很多人认为投放了Google AdSense的站点就不允许进行推广了。不过觉得困惑我想也正常,因为Google
- 针对GG规则的修改,主题不鲜明、关键字不突出的站点纷纷扑街,面对这个现状,小菜鸟们该如何玩转建站,兄弟斗胆妄言。1、选一款PHP的CMS。
- 如果你正在使用最新的 Ubuntu 服务器版本,你可能已经注意到欢迎消息中有一些与 Ubuntu 服务器平台无关的促销链接。你可能已经知道
- 今天的文章中我们为大家介绍的是有关活动目录的一个全新功能:可重启活动目录(Restartable Active Directory),这一功
- 各位网赚族可能有发现最近Simon在推荐和介绍看广告、 点广告赚钱的网站,但如果你的网站、部落格有放Google AdSense广告这类的点
- 十二月份,百度算法调整,结合地域查询功能,自动过滤信息,提示用户所在省市,将同城(同省)商品搜索结果放在最前端。比如搜索长沙家教,长沙的家教
- 安装官方推荐在ubuntu安装,本文选择在ubuntu14.04作为宿主系统。系统更新sudo apt-get update &&a
- 题记:在很多相册的网站中,都有这样的功能:当图片分多页显示的情况下,点击图片会自动翻页到下一张图片,接下来我们在dedecms4中实现这个功
- 我是一个农村的90后站长,搞网站4年了,对于网站宣传有一些研究。网站做好了肯定是想让更多的人看到,毕竟是咱的心血,没有人看怎么行。那么我们就
- 1.域名轰炸域名轰炸,英文称:domain spamSEO新手往往会认为,注册N个域名,都连向主站,这样就可以增加主站的PR。如果这N个域名
- 中国领先的社区平台与服务提供商康盛创想(Comsenz)旗下核心产品Discuz!新版正式发布。全新推出的Discuz! 7.2版本从用户注
- 美国东部时间10月21日17:32(北京时间10月22日5:32)消息,据国外媒体报道,九城(Nasdaq:NCTY)美国股东劳伦斯·格拉泽
- 教你新站seo获取外部链接的五大方法大家都知道外部链接是搜索引擎优化中很重要的因素,有的时候甚至起到了决定性的作用。群里面的朋友问我,说新站
- 5月12日消息,近日,微软董事长比尔盖茨表示,微软将在5月底推出一个免费的可以探索夜空影像的桌面软件工具,该工具名为全球望远镜(WorldW