服务器 Gind.cn
  1. 服务器 Gind.cn
  3. .htaccessredirect – 是否安全?
Intereting Posts
从A到B到C的SSH,使用B上的私钥 Windows 2008terminal服务:每用户超时configuration 当我添加负载平衡configuration时,不能访问Apache服务器状态页面 无法ping到本地主机到CentOS 谁能告诉我为什么我的Web服务器无法连接到数据库服务器? 作为简单的转发Web服务器清漆 networkingpipe理员:拥有硕士学位是否重要? HP UX服务器,make_recovery和make_tape_recovery 连接权限被拒绝表只设置权限 在vultr域的数量? 如何安装最新的单声道在Linux发行版以外的Suse(例如Debian / Ubuntu)? named.conf中的奇怪区域 正确使用磁盘到磁盘来使用重复数据删除和LTO5进行磁带备份 dhclient和链接本地地址 Microsoft Nano Server Preview 5无法格式化分区

.htaccessredirect – 是否安全?

这工作; 我没有麻烦, 我想确定这是防弹的。

我想出了一个简单的.htaccessredirect ,但我不确定它是否安全 你知道吗?

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteRule ^ goto /([az] +)/?$ / $ 1 / [R]

</ IfModule>configuration

我认为,只要服务器configuration正确,文件自动处理authentication,那么它不应该是一个安全问题。 另外,因为重写规则只适用于字符az和一个斜杠我怀疑他们可以通过注入东西到目录跳转目录我认为…

.htaccessredirect本身确实是“安全的”(除非在mod_rewrite或mod_rewrite相关的Apache代码中发现了严重的可远程攻击的bug)。

让我们来看一下示例请求:

  1. Apache(mod_rewrite)检查规则是否匹配
  2. 如果是这样:除了发送redirect头到浏览器,Apache不会做任何事情
  3. 如果不这样做:Apache会像其他任何一个处理请求(即开始查找匹配的文件,…)

我能想到的唯一的问题是将访问者redirect到一个他/她不希望看到的文件。 例如,如果Apache允许“遵循符号链接”,并且重写规则指向符号链接,比如你的/ etc / passwd,那么Apache将按照指示行事,并将你的/ etc / passwd发送到浏览器。 但这不是一个真正的.htaccessredirect的安全问题。

它实际上是因为[R]标志而没有做到的。

由于您发送的是外部redirect,这意味着安全性会超出服务器接收到重写URL的时间。 在这一点上,就好像有人从您的计算机上的键盘logging器中提取了一个URL。 服务器应该通过新的请求处理重写的URL,就像从来没有重写过。