Linux

使用 .htaccess 限制對特定 URL 的訪問

  • March 25, 2022

您好,我正在使用 xenforo 執行伺服器。我想知道如何限制 .htaccess 中的 url。

網址是:https://mywebiste.com/index.php?members/find&q=oi%5Bp%5C&_xfRequestUri=%2Findex.php%3Fmembers%2F&_xfWithData=1&_xfToken=1648216864%2C89d40e7bf50a91b8a62f9fe448c5d1f3&_xfResponseType=json

有 sql 注入,所以它認為只是阻止它會修復它。

我試著做這樣的事情:

RewriteEngine On
RewriteRule ^index.php?members/find&q=oi%5Bp%5C&_xfRequestUri=%2Findex.php%3Fmembers%2F&_xfWithData=1&_xfTo
ken=1648216864%2C89d40e7bf50a91b8a62f9fe448c5d1f3&_xfResponseType=json - [F]

並以 $ 結尾:

RewriteEngine On
RewriteRule ^index.php?members/find&q=oi%5Bp%5C&_xfRequestUri=%2Findex.php%3Fmembers%2F&_xfWithData=1&_xfTo
ken=1648216864%2C89d40e7bf50a91b8a62f9fe448c5d1f3&_xfResponseType=json$ - [F]

我究竟做錯了什麼?

RewriteRule指令僅與 URL 路徑匹配。要匹配查詢字元串,您需要一個與伺服器變數RewriteCond匹配的附加(條件)指令。QUERY_STRING

例如,要阻止該特定 URL:

RewriteCond %{QUERY_STRING} =members/find&q=oi%5Bp%5C&_xfRequestUri=%2Findex.php%3Fmembers%2F&_xfWithData=1&_xfToken=1648216864%2C89d40e7bf50a91b8a62f9fe448c5d1f3&_xfResponseType=json
RewriteRule ^index\.php$ - [F]

CondPattern上的=前綴(指令的第二個參數)使其成為字典字元串比較(精確匹配),而不是正則表達式,因此無需轉義特殊的正則表達式元字元。RewriteCond

但是,此 URL 非常具體,阻止(不)匹配特定模式的 URL 不是更好嗎?儘管如果您已經在伺服器端腳本中充分驗證了 URL 參數值,則不需要像這樣阻止特定的 URL。

引用自:https://serverfault.com/questions/1097048

相關問答

Linux

301重定向某些頁面和所有其他頁面

  • November 20, 2021
檢視問答
Linux

允許在查看目錄時列出文件,但在直接訪問時受保護(通過 HTTP 身份驗證)

  • July 11, 2021
檢視問答
Linux

如何獲取mysql.sock文件,錯誤地從“/mysql/tmp/”中刪除

  • March 3, 2021
檢視問答
Linux

兩個域之間的轉髮指向伺服器的同一個目錄而不改變URL

  • July 17, 2020
檢視問答
Linux

如何阻止/拒絕 linux 使用者使用 htaccess 訪問站點?

  • July 7, 2020
檢視問答
Linux

將所有 URL 從 http 重定向到 https(使用 301 ),少數除外

  • October 3, 2019
檢視問答