我在我的 web 根目录中使用以下 .htaccess 来限制对其文件的公共访问:
.htaccess
<Limit GET POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>
但问题是我的网站托管在虚拟托管环境中,因此是否有人担心有人在我使用的同一台服务器上托管他的文件可以访问这些文件(因为我们都属于 127.0.0.1) ?
你是对的,来自同一主机的某人可以访问该目录。如果你想让它安全,我建议设置一个密码。
AuthType Basic
AuthName "Protected Area"
AuthUserFile /home/www/path/to/.htpasswd
require valid-user
使用 htpasswd -c .htpasswd yourusername 创建 .htaccess 文件,或使用在线 htaccess 密码生成器之一。
<Limit GET POST>
此外,如果您不确定是否只想限制 POST 和 GET,请不要使用类似的东西。Apache 提供的不止这些,例如 HEAD、PUT、DELETE、CONNECT 方法来发出请求。
跳过 <Limit> 以确保。