Apache-2.2

除了 .htaccess 和 .htpasswd 之外,Apache 是否使用任何其他點 ht 文件?

  • October 19, 2012

我正在強化我的 Apache 伺服器配置,並想知道它是否使用"^.ht.+"除了 .htaccess 和 .htpasswd 之外的任何其他文件?

有阿帕奇嗎?不。

它通常唯一使用.htaccessAccessFileName是.AccessFileName .htaccess``.ht

.htpasswd不是一個正常的標準,甚至不是一個好主意;一般建議是將身份驗證文件保留在您的 Web 根目錄之外,因為還有其他方法(遠端文件包含漏洞)可能會繞過 Apache 的訪問限制來獲取文件的內容。

其他人呢?也許。

.ht*某些人/內容/Web應用程序期望/濫用“這是某種受限制/無法訪問的文件”的常見用法,原因與.htaccess許多人誤解為放置訪問權限的“正確”位置的原因相同控制和重寫規則,儘管它不是為此而設計的。因此,如果您禁用預設行為<Files ~ "^\.ht">(為什麼需要這樣做來進行強化?),請確保您的內容沒有濫用該文件名約定來隱藏內容。

引用自:https://serverfault.com/questions/440280