我在一个网站上工作,我将需要在.htaccess中使用重写命令。 它不工作,最后追溯了我需要设置的问题
在我的Apache httpd.conf中“AllowOverride All”
我想知道是否有任何安全问题,当我从“AllowOverride None”更改为“AllowOverride All”时,我应该知道?
谢谢!
好问题,答案是肯定的,这里有风险评估。 它将允许具有写入特定目录的用户创build.htaccess文件并覆盖各种设置:
因此,您已经为虚拟主机设置了一个全局白名单的具体示例,用户可以在可以写入的目录中覆盖该白名单。 或者他们可能会覆盖您的全球设置需要授权的用户。
有关可以完成的更多内容,请参阅: http : //httpd.apache.org/docs/1.3/mod/core.html#allowoverride
如果它不是一个共享系统,风险相当小,因为通常整个Web服务器实例将作为同一个用户运行,所以这不是真的如果有人破坏Web服务器会发生什么。 如果有人可以在你的脚本中find一个漏洞并且可以写一个任意的文件,可以说你有某种上传界面。