Security

Apache 重定向是否足夠安全,並且可以信任以始終將所有人拒之門外?

  • May 27, 2017

在我的開發伺服器上,僅使用證書登錄(443 上的 HTTPS),而 80 上的 HTTP 正在重定向到 HTTPS。沒有重定向,訪問不受限制,每個人都可以去任何地方,因為我不能在 HTTP 而不是 HTTPS 上執行“require”,因為“require”僅適用於 LOCATION/FILE 而不是 VHOST。

可以信任重定向以始終拒絕對 HTTP 的訪問嗎?是否足夠安全?

相關設置:

在 /var/www/html/ 位置:

Require All granted
Options Indexes FollowSymLinks

在虛擬主機

$$ server ip $$:80

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]

在虛擬主機

$$ server ip $$:433

SSLVerifyClient require

是的。如果每個請求都被重定向,那麼就沒有其他東西了。但是,您的RewriteCond %{HTTPS} off. HTTP對於所有內容VirtualHost只能有一個簡單的mod_aliasRedirect。當它甚至沒有任何DocumentRoot內容時,也更容易意識到它不會提供任何內容。

<VirtualHost *:80>
   ServerName example.com
   ServerAlias www.example.com
   Redirect permanent / https://example.com/
</VirtualHost>

引用自:https://serverfault.com/questions/852554

相關問答

Security

如果我在 Drupal 8 上禁用 htaccess 文件,我會收到一條錯誤消息

  • February 25, 2019
檢視問答
Ubuntu

Apache2:為什麼我會收到 403 Forbidden 錯誤?

  • February 10, 2022
檢視問答
Ubuntu

apache2的不同配置文件?

  • January 26, 2022
檢視問答
Ssl

為什麼 Apache 在使用“openssl s_client”連接到它時返回 400“錯誤請求”錯誤,即使它發送 TLS SNI

  • January 10, 2022
檢視問答
Security

如何限制同一虛擬主機上的文件夾之間的訪問

  • July 15, 2021
檢視問答
Security

我應該更改上傳的預設文件夾嗎?

  • June 7, 2021
檢視問答