使用 .htaccess 排除私人网站的所有用户代理

使用 .htaccess 排除私人网站的所有用户代理

对于您想要保密的网站,您无法限制/允许用户访问 IP,也无法实施密码保护。但您可以让用户使用自定义用户代理。

作为第一道防线,我正在考虑拒绝所有用户代理并允许一个模棱两可的用户代理。

Apache 文档说:

通过 User-Agent 进行访问控制是一种不可靠的技术,因为 User-Agent 标头可以根据最终用户的想法设置为任何内容。

但我认为,以相反的方式否认所有,只接受一个,可能会非常有效。

我的问题是 1.) 考虑到这种情况这似乎是一个好的解决方案吗 2.) 有没有办法让人们知道在给定的服务器上允许哪些用户代理?

答案1

但我认为,以相反的方式否认所有,只接受一个,可能会非常有效。

您引用的文档专门针对您的建议发出警告。

除非您的流量通过加密(HTTPS)通道(如果您没有选择使用任何其他身份验证方式,情况可能并非如此),否则您的客户端网络和目标网络之间的任何位置的临时观察者都将能够看到哪些用户代理被您的服务“接受” - 即您无法保证隐私。

相关内容