Security
Apache 重定向是否足夠安全,並且可以信任以始終將所有人拒之門外?
在我的開發伺服器上,僅使用證書登錄(443 上的 HTTPS),而 80 上的 HTTP 正在重定向到 HTTPS。沒有重定向,訪問不受限制,每個人都可以去任何地方,因為我不能在 HTTP 而不是 HTTPS 上執行“require”,因為“require”僅適用於 LOCATION/FILE 而不是 VHOST。
可以信任重定向以始終拒絕對 HTTP 的訪問嗎?是否足夠安全?
相關設置:
在 /var/www/html/ 位置:
Require All granted Options Indexes FollowSymLinks
在虛擬主機
$$ server ip $$:80
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{SERVER_NAME}/$1 [R,L]
在虛擬主機
$$ server ip $$:433
SSLVerifyClient require
是的。如果每個請求都被重定向,那麼就沒有其他東西了。但是,您的
RewriteCond %{HTTPS} off
. HTTP對於所有內容VirtualHost
只能有一個簡單的mod_aliasRedirect
。當它甚至沒有任何DocumentRoot
內容時,也更容易意識到它不會提供任何內容。<VirtualHost *:80> ServerName example.com ServerAlias www.example.com Redirect permanent / https://example.com/ </VirtualHost>