.htaccess 有多安全？

Question 1

对于通过用户代理字符串阻止搜索引擎而言，这相当简单。对于阻止用户通过用户代理字符串，忘掉它吧，这太浪费时间了。

如果您要设置基本身份验证登录，请注意这些登录很容易受到暴力攻击，并且密码以纯文本形式发送。如果您要设置此登录以增加安全性，我建议使用 SSL。您可能对以下内容感兴趣ModSecurity如果您担心暴力破解，也是如此。

我建议在将 .htaccess 文件放到位之前也将其发布，以便评估是否存在任何问题。

Answer

对于通过用户代理字符串阻止搜索引擎而言，这相当简单。对于阻止用户通过用户代理字符串，忘掉它吧，这太浪费时间了。

如果您要设置基本身份验证登录，请注意这些登录很容易受到暴力攻击，并且密码以纯文本形式发送。如果您要设置此登录以增加安全性，我建议使用 SSL。您可能对以下内容感兴趣ModSecurity如果您担心暴力破解，也是如此。

我建议在将 .htaccess 文件放到位之前也将其发布，以便评估是否存在任何问题。

Question 2

.htaccess 文件是一组针对您的网络服务器的指令。如果您告诉它在显示页面之前需要身份验证，这将适用于每个人，包括搜索引擎（并且只有您有密码）。

确保您的密码文件不在可公开访问的目录中。您可以使用此指令完全阻止对以“.ht”开头的文件的访问，但如果您的整个网站都受密码保护，那么这应该不是问题。

<FilesMatch "^\.ht(.*)$">
  Deny from all
</FilesMatch>

请注意，如果您的连接未经过 SSL 加密，则此设置将不完全安全。您和 Web 服务器之间的任何人都可以拦截您的连接并嗅探您的密码 - 例如，如果您在咖啡店使用公共 Wi-Fi。但是，请考虑您需要多少安全性，因为 SSL 的设置可能很复杂且昂贵。从实际目的来看，.htaccess 文件应该足以阻止不受欢迎的访问者访问您的网站。

PS 使用HTTP 摘要身份验证而不是基本身份验证 - 它更安全一些。

Answer

.htaccess 文件是一组针对您的网络服务器的指令。如果您告诉它在显示页面之前需要身份验证，这将适用于每个人，包括搜索引擎（并且只有您有密码）。

确保您的密码文件不在可公开访问的目录中。您可以使用此指令完全阻止对以“.ht”开头的文件的访问，但如果您的整个网站都受密码保护，那么这应该不是问题。

<FilesMatch "^\.ht(.*)$">
  Deny from all
</FilesMatch>

请注意，如果您的连接未经过 SSL 加密，则此设置将不完全安全。您和 Web 服务器之间的任何人都可以拦截您的连接并嗅探您的密码 - 例如，如果您在咖啡店使用公共 Wi-Fi。但是，请考虑您需要多少安全性，因为 SSL 的设置可能很复杂且昂贵。从实际目的来看，.htaccess 文件应该足以阻止不受欢迎的访问者访问您的网站。

PS 使用HTTP 摘要身份验证而不是基本身份验证 - 它更安全一些。

.htaccess 有多安全？

答案1

答案2

相关内容