• 首页
  • vue
  • TypeScript
  • JavaScript
  • scss
  • css3
  • html5
  • php
  • MySQL
  • redis
  • jQuery
  • 使用 mod_rewrite 控制访问

    本文档是mod_rewrite参考文档的补充。它描述了如何mod_rewrite用来控制对各种资源的访问以及其他相关技术。这包括mod_rewrite常用用法的许多示例,包括每种用法的详细说明。

    请注意,这些示例中的许多示例在您的特定服务器配置中都不会起作用,因此,理解它们,而不只是将示例剪切并粘贴到您的配置中,这一点很重要。

    禁止图片“热链接”

    描述:

    以下技术禁止在其他网站上进行内联,包括在页面中内嵌图像。这种做法通常称为“热链接”,导致您的带宽被用于为其他人的站点提供内容。

    解:

    此技术依赖于HTTP_REFERER变量的值,该值是可选的。因此,某些人有可能规避此限制。但是,大多数用户将遇到失败的请求,随着时间的流逝,应导致该图像从该其他站点删除。

    有几种方法可以处理这种情况。

    在第一个示例中,如果请求不是从我们网站上的页面发起的,我们只是拒绝该请求。就本示例而言,我们假设我们的网站是www.example.com

    RewriteCond "%{HTTP_REFERER}" "!^$"
    RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
    RewriteRule "\.(gif|jpg|png)$"    "-"   [F,NC]
    

    在第二个示例中,我们显示替代图像,而不是失败请求。

    RewriteCond "%{HTTP_REFERER}" "!^$"
    RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
    RewriteRule "\.(gif|jpg|png)$"    "/images/go-away.png"   [R,NC]
    

    在第三个示例中,我们将请求重定向到其他站点上的图像。

    RewriteCond "%{HTTP_REFERER}" "!^$"
    RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
    RewriteRule "\.(gif|jpg|png)$" "http://other.example.com/image.gif"   [R,NC]
    

    在这些技术中,最后两种趋于最有效地使人们停止热链接您的图像,因为他们根本看不到他们期望看到的图像。

    讨论:

    如果您只想拒绝对该资源的访问,而不是将该请求重定向到其他位置,则可以在不使用mod_rewrite的情况下完成此操作:

    SetEnvIf Referer "example\.com" localreferer
    <FilesMatch "\.(jpg|png|gif)$">
        Require env localreferer
    </FilesMatch>
    

    机器人封锁

    描述:

    在本食谱中,我们讨论如何阻止来自特定机器人或用户代理的持久性请求。

    机器人排除标准定义了一个文件,/robots.txt该文件指定您希望排除机器人的网站部分。但是,某些机械手不遵守这些文件。

    请注意,有一些方法不使用mod_rewrite。还请注意USER_AGENT,由于可以更改该字符串,因此可以非常容易地规避依赖于客户端字符串的任何技术。

    解:

    我们使用一个规则集来指定要保护的目录,并使用客户端USER_AGENT来标识恶意或持久性机器人。

    在此示例中,我们将阻止一个NameOfBadRobot从location 调用的机器人/secret/files。如果试图仅从特定来源阻止该用户代理,则也可以指定IP地址范围。

    RewriteCond "%{HTTP_USER_AGENT}"   "^NameOfBadRobot"
    RewriteCond "%{REMOTE_ADDR}"       "=123\.45\.67\.[8-9]"
    RewriteRule "^/secret/files/"   "-"   [F]
    
    讨论:

    无需为此使用mod_rewrite,您可以使用替代方法来完成相同的目的,如下所示:

    SetEnvIfNoCase User-Agent "^NameOfBadRobot" goaway
    <Location "/secret/files">
        <RequireAll>
            Require all granted
            Require not env goaway
        </RequireAll>
    </Location>
    

    如上所述,通过简单地修改USER_AGENT请求标头,可以轻松地绕过此技术。如果遭受持续攻击,则应考虑在较高级别(例如在防火墙上)将其阻止。

    拒绝黑名单中的主机

    描述:

    我们希望维护一个主机黑名单(例如)hosts.deny,并阻止这些主机访问我们的服务器。

    解:
    RewriteEngine on
    RewriteMap    hosts-deny  "txt:/path/to/hosts.deny"
    RewriteCond   "${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND}" "!=NOT-FOUND" [OR]
    RewriteCond   "${hosts-deny:%{REMOTE_HOST}|NOT-FOUND}" "!=NOT-FOUND"
    RewriteRule   "^"  "-"  [F]
    
    ##
    ## hosts.deny
    ##
    ## ATTENTION! This is a map, not a list, even when we treat it as such.
    ## mod_rewrite parses it for key/value pairs, so at least a
    ## dummy value "-" must be present for each entry.
    ##
    
    193.102.180.41 -
    bsdti1.sdm.de -
    192.76.162.40 -
    
    讨论:

    第二个RewriteCond假定您已打开HostNameLookups,以便将解析客户端IP地址。如果不是这种情况,则应删除第二个RewriteCond,并删除[OR]第一个RewriteCond中的标志。

    基于引用者的偏转器

    描述:

    根据请求来自的引荐来源重定向请求,每个引荐来源具有不同的目标。

    解:

    以下规则集使用映射文件将每个Referer与重定向目标相关联。

    RewriteMap  deflector "txt:/path/to/deflector.map"
    
    RewriteCond "%{HTTP_REFERER}" !=""
    RewriteCond "${deflector:%{HTTP_REFERER}}" "=-"
    RewriteRule "^" "%{HTTP_REFERER}" [R,L]
    
    RewriteCond "%{HTTP_REFERER}" !=""
    RewriteCond "${deflector:%{HTTP_REFERER}|NOT-FOUND}" "!=NOT-FOUND"
    RewriteRule "^" "${deflector:%{HTTP_REFERER}}" [R,L]
    

    映射文件列出了每个引荐来源网址的重定向目标,或者,如果我们仅希望重定向回它们的来源,则在映射中放置一个“-”:

    ##
    ##  deflector.map
    ##
    
    http://badguys.example.com/bad/index.html    -
    http://badguys.example.com/bad/index2.html   -
    http://badguys.example.com/bad/index3.html   http://somewhere.example.com/