在 Require 测试失败后运行的 RewriteRule 将 403.shtml 重写为网站内容而不是错误消息

在 Require 测试失败后运行的 RewriteRule 将 403.shtml 重写为网站内容而不是错误消息

当请求由于而被拒绝时require all denied,它首先被路由到ErrorDocument 403.shtml,但随后它会被重写而不是停在那里,并且网站内容实际上会被提供(尽管带有403状态代码)。

我们把它归结为一个非常简单的测试用例

在网站根目录的 .htaccess 中输入以下内容。

Require all denied 
RewriteRule .* test.txt [L]

在网站根目录下的 test.txt 中输入以下内容:

You shouldn't see this text here but if you are it's because of the RewriteRule running after Require all denied gets processed

我确认注释掉 RewriteRule 会导致Require指令按预期运行。

以下是一些相关的LogLevel trace8输出:

authorization result of Require all denied: denied
authorization result of <RequireAny>: denied
AH01630: client denied by server configuration
auth phase 'check access' gave status 403
mod_rewrite.c: strip per-dir prefix: /home/path-to-site/403.shtml -> 403.shtml
mod_rewrite.c: applying pattern '.*' to uri '403.shtml'
mod_rewrite.c: rewrite '403.shtml' -> 'test.txt'

编辑:

这个问题很奇怪的一点是它突然开始发生。这几乎就像服务器上发生了一些变化,比如会影响 ErrorDocument 指令或其行为的变化,但我想不出我们可能做了什么更改导致这种情况。

答案1

事实证明,ErrorDocument 指令被添加了,而之前没有。这一变化导致它停止工作。

例如:

ErrorDocument 401 /401.shtml
ErrorDocument 403 /403.shtml

相关内容