Security

Apache 重定向是否足夠安全,並且可以信任以始終將所有人拒之門外?

  • May 27, 2017

在我的開發伺服器上,僅使用證書登錄(443 上的 HTTPS),而 80 上的 HTTP 正在重定向到 HTTPS。沒有重定向,訪問不受限制,每個人都可以去任何地方,因為我不能在 HTTP 而不是 HTTPS 上執行“require”,因為“require”僅適用於 LOCATION/FILE 而不是 VHOST。

可以信任重定向以始終拒絕對 HTTP 的訪問嗎?是否足夠安全?

相關設置:

在 /var/www/html/ 位置:

Require All granted
Options Indexes FollowSymLinks

在虛擬主機

$$ server ip $$:80

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]

在虛擬主機

$$ server ip $$:433

SSLVerifyClient require

是的。如果每個請求都被重定向,那麼就沒有其他東西了。但是,您的RewriteCond %{HTTPS} off. HTTP對於所有內容VirtualHost只能有一個簡單的mod_aliasRedirect。當它甚至沒有任何DocumentRoot內容時,也更容易意識到它不會提供任何內容。

<VirtualHost *:80>
   ServerName example.com
   ServerAlias www.example.com
   Redirect permanent / https://example.com/
</VirtualHost>

引用自:https://serverfault.com/questions/852554