11月19日任务
11.25 配置防盗链
11.26 访问控制Directory
11.27 访问控制FilesMatch
配置防盗链
为什么要配置防盗链
第三方的站点可以通过引用的方式来获取本服务器上的资源如图片等,但是相应的网络资源的使用这对于本机而言往往是多余的、浪费的。因此我们需要限制这方面的资源访问,通过设置防盗链的方式。
什么是referer
referer是http数据包的header的一部分,当浏览器其向服务器发送请求时,将带上referer,以此来告诉浏览器该请求时从什么网页链接过来的,浏览器处理该链接并显示。
设置了防盗链后,一些站点将无法通过引用的方式来获取服务器的资源,只能通过直接访问本机来获取,这样就将有效的流量访问限定到了本机,不被不法站点所利用。
如何配置
编辑虚拟主机配置文件
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 插入下面的内容:
<Directory /data/wwwroot/111.com>
# 将111.com设为白名单,对应规则Allow
SetEnvIfNoCase Referer "http://111.com" local_ref
# 将aaa.com设为白名单,对应规则Allow
SetEnvIfNoCase Referer "http://aaa.com" local_ref
# 将空referer设为白名单,对应规则Allow;空referer即直接访问的地址
SetEnvIfNoCase Referer "^$" local_ref
# 对txt、doc等格式的文件执行访问控制
<FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
# 白名单地址allow,其他deny
# 执行顺序依次为allow、deny,反过来将导致都被禁止访问
Order Allow,Deny
# 白名单为local_ref对应的地址
Allow from env=local_ref
</FilesMatch>
</Directory>
效果验证
使用windows浏览器测试时,前提需要设置hosts文件!
我主机内的设置为
扫描二维码关注公众号,回复:
4224566 查看本文章
192.168.65.133 111.com
- 访问空referer(直接访问) 注释掉空referer行
不注释空referer行
- 第三方站点访问(引用)
// 将第三方的域名加入白名单,我这里使用的是猿课论坛
SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref
// 空referer行注释掉
#SetEnvIfNoCase Referer "^$" local_ref
保存后重启访问访问
效果如下:
成功获取到了图片
- 使用curl命令模拟referer:-e参数
[root@localhost 111.com]# curl -e "http://111.com/test.jpg" -x 127.0.0.1:80 111.com/test.jpg -I
HTTP/1.1 200 OK
Date: ..., ... 14:14:43 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Last-Modified: ..., ... 13:20:20 GMT
ETag: "18652-5612a0725ed00"
Accept-Ranges: bytes
Content-Length: 99922
Content-Type: image/jpeg
访问控制Directory
限制用户访问部分目录,允许特定ip访问
虚拟主机配置文件
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加如下内容:
<Directory /data/wwwroot/111.com/admin/>
Order deny,allow # 决定规则的先后顺序
Deny from all
Allow from 127.0.0.1 # 只允许本地访问
</Directory>
效果验证
- allow的ip访问,200 ok
[root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: ..., ... 12:58:07 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8
- 通过其他ip访问,403 forbidden,限制访问
[root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: ..., ... 12:59:11 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
访问控制--FilesMatch
除了能够限制访问目录,还可以限制某些文件的访问
修改虚拟主机配置文件
[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
修改目录访问控制的语段:
<Directory /data/wwwroot/111.com>
# 对文件admin.php进行限制
<FilesMatch "admin.php(.*)">
Order deny,allow
Deny from all
Allow from 127.0.0.1
</FilesMatch>
</Directory>
效果验证
- 通过允许的ip访问,由于文件不存在,返回404状态码
[root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 404 Not Found
Date: ..., ... 13:11:42 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1
- 通过其他ip访问,返回403 forbidden,限制访问
[root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/admin.php?123 -I
HTTP/1.1 403 Forbidden
Date: ..., ... 13:12:05 GMT
Server: Apache/2.4.28 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1