1

我有一个供应商提供的 .htaccess 编辑器,它从我的供应商网站和我的控制面板运行。当我列出要阻止的 IP 时,该方法不允许重定向到我的“被阻止”页面……当然,IP 被阻止了……呵呵。

因此,我研究并找到了另一种在 .htaccess 文件中阻止 IP 的方法。现在使用:

RewriteCond %{REMOTE_ADDR} ^98\.137\.207\. [OR]
RewriteCond %{REMOTE_ADDR} ^98\.218\.142\.121 [OR]
RewriteCond %{REMOTE_ADDR} ^99\.33\.36\.101
RewriteCond %{REQUEST_URI} !^/blocked.php$
RewriteRule ^(.*)$ /blocked.php [R]

我被阻止的访问者被重定向到 /blocked.php 页面,他们可以通过电子邮件将其从列表中删除。

问题:这是否比完全阻止它们更不安全......可以访问一个文件允许他们任何黑客访问其他文件,如果它们被完全阻止则无法访问?

4

1 回答 1

1

简短的回答:是的,它不如一个完整的块安全,但你可以采取措施来减轻它。

如果您首先阻止了它们,我猜您要么怀疑它们,要么将它们识别为试图入侵您的网站或以其他方式行为不端。因此,无论您提供什么让他们请求解除阻塞的访问权限,都应该假设他们没有任何好处。这意味着:

  1. 让它成为一个普通的 HTML 页面,而不是一个 php 页面,这更有可能被滥用。
  2. 将 HTML 页面放在与主 Web 根目录不同的目录中,以便您可以收紧该目录的规则(不执行脚本、不使用符号链接、更严格的权限等)。
  3. 如果通过电子邮件请求解锁,只需列出地址或提供 mailto 链接,不要设置表单,这是另一种恶作剧的途径。
于 2013-02-16T04:18:21.257 回答