4月17日任务

11.25 配置防盗链

11.26 访问控制Directory

11.27 访问控制FilesMatch

扩展

几种限制ip的方法 http://ask.apelearn.com/question/6519

apache 自定义header  http://ask.apelearn.com/question/830

apache的keepalive和keepalivetimeout http://ask.apelearn.com/question/556

11.25 配置防盗链

防盗链,就是不让别人用你网站上的资源。

而这个资源,通常是图片,视频,歌曲,文档等。

referer的概念,通过A网站的一个页面a.com/a.html里面的链接去访问B网站的一个页面b.com/b.html,那么这个B网站的referer就是a.com/a.html。也就是说,一个referer就是一个网址。

通过限制referer来实现防盗链的功能

配置文件增加如下内容

  <Directory /data/wwwroot/www.123.com>

        SetEnvIfNoCase Referer "http://www.123.com" local_ref

        SetEnvIfNoCase Referer "http://123.com" local_ref

        SetEnvIfNoCase Referer "^$" local_ref

        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">

            Order Allow,Deny

            Allow from env=local_ref

        </filesmatch>

    </Directory>

Order Allow,Deny

解析,

限制动作的顺序 。白名单的先允许,其他的将会被Deny

Allow From env=local_ref

允许的源

检查并重新加载

apachectl -t, apachectl graceful

打开网页测试,测试白名单111.com/1.gif

其中1.gif是属于白名单的其中针对文件类型

截图

加了防盗链之后,会提示没有被允许访问。

如果我们直接在防盗链配置上面加入第三方链接的referer,我们也能直接访问。

例如,在阿铭论坛上访问111.com/1.gif,使其开通白名单即可。以下配置

原理就是,111.com/1.gif的referer是阿铭论坛(ask.apelearn.com),而阿铭论坛又被列入白名单当中。所以在阿铭论坛点开111.com/1.gif是完全不受访问的 。

^$表示空referer,就是指开头了就结尾了。

curl测试 curl-e后面接referer的网址

[root@AliKvn 111.com]# curl -e "http://www.qq.com/123.txt" -x127.0.0.1:80 111.com/1.gif -I

HTTP/1.1 403 Forbidden

Date: Tue, 17 Apr 2018 10:15:55 GMT

Server: Apache/2.4.33 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1

状态代码是403,因为referer是http://www.qq.com/123.txt

[root@AliKvn 111.com]# curl -e "http://111.com/123.txt" -x127.0.0.1:80 111.com/1.gif -I

HTTP/1.1 200 OK

Date: Tue, 17 Apr 2018 10:16:58 GMT

Server: Apache/2.4.33 (Unix) PHP/5.6.30

Last-Modified: Tue, 14 Jul 2009 05:32:31 GMT

ETag: "91554-46ea3c3d3b9c0"

Accept-Ranges: bytes

Content-Length: 595284

Content-Type: image/gif

状态码是200,因为referer是http://111.com/123.txt,而111.com又是白名单之一,所以是通过的。

11.26 访问控制Directory

核心配置文件内容

<Directory /data/wwwroot/www.123.com/admin/>

Order deny,allow

Deny from all

Allow from 127.0.0.1

</Directory>

/admin/ 表示后台

curl测试状态码为403则被限制访问了,

因为上面命令语句中,只有127.0.0.1是allow的,其他都是deny。所以当172.18.171.157去访问111.com/admin/index.php是会被限制访问。

而127.0.0.1:80则被允许。

关于Order,

Order deny,allow

Order后面先deny,所以Order执行的第一个语句是执行deny的语句。

Deny from all        先拒绝所有,无论是127.0.0.1也是如此。

Allow from 127.0.0.1      再允许正确来源IP访问127.0.0.1,这里的本地访问指服务器IP本地。

主要目的,为了限制外连、本地连接,只能让本地连接,这里本地连接的IP的本地是服务器IP(127.0.0.1 或者服务器IP段都行)。

11.27  访问控制FilesMatch

核心配置文件内容

<Directory /data/wwwroot/www.123.com>

    <FilesMatch  "admin.php(.*)">

        Order deny,allow

        Deny from all

        Allow from 127.0.0.1

    </FilesMatch>

</Directory>

用curl可以看到效果127.0.0.1的状态码404是通过访问了,只是找不到页面(因为页面本来就不存在)

而主机ip 172.18.171.157的状态码403连访问都通过试过,连接被受限了。

[root@AliKvn logs]# curl -x127.0.0.1:80 111.com/admin.php1111111111 -I

HTTP/1.1 404 Not Found

Date: Wed, 18 Apr 2018 08:59:48 GMT

Server: Apache/2.4.33 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1
[root@AliKvn logs]# curl -x172.18.171.157:80 111.com/admin.php1111111111 -I

HTTP/1.1 403 Forbidden

Date: Wed, 18 Apr 2018 08:59:52 GMT

Server: Apache/2.4.33 (Unix) PHP/5.6.30

Content-Type: text/html; charset=iso-8859-1

转载于:https://blog.51cto.com/13578154/2104530

11.25-11.27 配置防盗链,访问控制(Directory,FilesMatch)的更多相关文章

  1. 配置防盗链 访问控制Directory 访问控制FilesMatch

  2. centos LAMP第二部分apache配置 下载discuz!配置第一个虚拟主机 安装Discuz! 用户认证 配置域名跳转 配置apache的访问日志 配置静态文件缓存 配置防盗链 访问控制 apache rewrite 配置开机启动apache tcpdump 第二十节课

    centos    LAMP第二部分apache配置  下载discuz!配置第一个虚拟主机 安装Discuz! 用户认证 配置域名跳转  配置apache的访问日志  配置静态文件缓存  配置防盗链 ...

  3. 配置防盗链、访问控制Directory和FilesMatch

    5月31日任务 课程内容: 11.25 配置防盗链11.26 访问控制Directory11.27 访问控制FilesMatch扩展几种限制ip的方法 http://ask.apelearn.com/ ...

  4. Linux centosVMware Apache 配置防盗链、访问控制Directory、访问控制FilesMatch

    一.配置防盗链 通过限制referer来实现防盗链的功能 配置文件增加如下内容 vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf //改为如下 ...

  5. nginx解决服务器宕机、解决跨域问题、配置防盗链、防止DDOS流量攻击

    解决服务器宕机 配置nginx.cfg配置文件,在映射拦截地址中加入代理地址响应方案 location / { proxy_connect_timeout 1; proxy_send_timeout ...

  6. Apache配置 8.配置防盗链

    (1)介绍 防盗链,通俗讲,就是不让别人盗用你网站上的资源.这个资源,通常指的是图片.视频.歌曲.文档等. (2)配置 配置防盗链先编辑主机配置文件: #vim /usr/local/apache2. ...

  7. The server of Apache (四)——配置防盗链和隐藏版本信息

    一.防盗链 防盗链就是防止别人的网站代码里面盗用我们服务器的图片.文件.视频等相关资源,比如我们的网页的图片有链接,别人把链接复制粘贴到他们的服务器页面里,图片不在他们自己的网站里,每次打开他们的网站 ...

  8. apache配置防盗链

    1.确保apache已开启rewrite.   2.在.htaccess文件中添加如下: RewriteEngine On RewriteCond %{HTTP_REFERER} !^http://X ...

  9. LAMP 2.3 Apache配置防盗链

    如果你的站点是一个图片站,有很多非常漂亮的美女图片,那我相信,时间久了会有很多人来你网站借图片,有的人直接下载走了,还有的人直接取走图片的地址,比如你的网站域名是 www.123.com,图片地址为 ...

随机推荐

  1. 【JAVA进阶架构师指南】之四:垃圾回收GC

    前言   在[JAVA进阶架构师指南]系列二和三中,我们了解了JVM的内存模型以及类加载机制,其中在内存模型中,我们说到,从线程角度来说,JVM分为线程私有的区域(虚拟机栈/本地方法栈/程序计数器)和 ...

  2. 浅谈动态规划(Dynamic Programming)

    利用Leetcode#198打劫家舍 浅谈动态规划 Origin:https://leetcode-cn.com/problems/house-robber/ 题目本身不难,就是一个动态规划的问题.在 ...

  3. GlusterFS 4.1 版本选择和部署

    GlusterFS 4.1 版本选择和部署 目录 GlusterFS 4.1 版本选择和部署 1 前言相关 1.1 glusterfs优势 1.2 版本选择 1.3 volume知识 2 服务部署 2 ...

  4. djangoRestFrameWork的小知识

    djangoRestFrameWork的小知识 重写序列化器的save方法 有时候,.create()和.update()方法名称可能没有意义.例如,在联系表格中,我们可能没有创建新实例,而是发送了电 ...

  5. flask-模板使用

    flask-模板使用 模板方法: 模板中的url_for跟后台视图的url_for使用起来基本是一样的,也可以传递参数 使用方式 {{ url_for('func') }} 过滤器: 过滤器是通过管道 ...

  6. 汇编刷题:在M单元和N单元分别存有一个8位无符号数36H和95H,要求比较并输出 M大于N 或者 M小于N

    DATA SEGMENT     M DB 36H     N DB 95H     RESAULT1 DB 'M>N$'     RESAULT2 DB 'M<N$' DATA ENDS ...

  7. .net core 对dapper 新增 更新 删除 查询 的扩展

    早期的版本一直用的是EF,但是EF一直有个让人很不爽的东西需要mapping 实体对象:如果没有映射的情况下连查询都没办法: 所以后来开始使用dapper 但是dapper都是直接用的是sql,这个对 ...

  8. Java虚拟机类装载的原理及实现(转)

    Java虚拟机类装载的原理及实现(转) 一.引言 Java虚拟机(JVM)的类装载就是指将包含在类文件中的字节码装载到JVM中, 并使其成为JVM一部分的过程.JVM的类动态装载技术能够在运行时刻动态 ...

  9. 漏洞复现环境集锦-Vulhub

    0x01 Vulhub简介 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译.运行一个完整的漏洞靶场镜像. 0x02 安装 # 安装pip curl -s ht ...

  10. [译]使用开发工具来调试 Beta 版 WebView

    自2014年以来,Android WebView 已经作为一个可更新的系统组件铺平了道路,为 Android 应用程序和用户提供了稳定性和性能改进.现代网络平台功能和安全补丁. 然而,更新可能是一把双 ...