网际网

公司愿景:为企业办公运维解决方案服务
弱电工程:网络布线;监控安装;智能系统
设备租赁:租打印机;租复印机;出租电脑
联系电话13713730648;0755-33942288
公司地址:深圳龙华民治樟坑1区109栋1楼
弱电工程公司

网站.htaccess文件 系统配置泄露的解决方法

服务外包公司    综合布线    2016-4-6    13670    0评论
.htaccess保护网站敏感目录的改进方法;很多人都在使用.htaccess保护网站的敏感目录(如:网站后台),方法无非是HTTP Basic Auth和IP白名单。HTTP Basic Auth验证方式过于简单,IP白名单对于动态IP用户不方便,这里推荐一种使用Session+Cookie验证的方法,不仅可以有效解决此类问题,同时还可修改该敏感目录名。
 001.jpg
新建一个名称较为复杂的文件夹,本例中使用:MyAdminFolder,在其下新建index.php,输入以下内容(注:RandomStringHere 和 /admin/index.php 需要根据实际情况修改):


<?php
    $SecretCode="RandomStringHere";
    setcookie("SecureAdminSession",$SecretCode,0,"/");
    header("Location: /admin/index.php");
?>



并将以下内容添加到.htaccess中(注:RandomStringHere 和 /admin 需要根据实际情况修改):


RewriteEngine On
RewriteCond %{REQUEST_URI} ^/admin
RewriteCond %{HTTP_COOKIE} !SecureAdminSession=RandomStringHere
RewriteRule .* - [L,F]



保存后,只有访问 /MyAdminFolder 才可以进入网站的真实后台 /admin/index.php,且Session在浏览器关闭后清除,如果直接访问 /admin 则会返回HTTP 403错误。
 
 
 
小提示:
 
1. 如果将 /MyAdminFolder 下的index.php更换为秘密文件名,且在.htaccess中关闭了文件列表显示(Index of /),相当于再加了一道防护。
 

2. 如果不慎泄露了随机字符串(本例为RandomStringHere),可以直接换一个新的,即可令之前的Session全部失效,保证敏感目录的安全。当然,定时更换也是一个好习惯。 

提示: 

 随机字符串生成,随机密码生成工具 https://www.wjdiy.cn/tool/String.html

  • 扫码关注
    评论一下 分享本文 联系我们 扫码支付

    扫码支付X

    扫码付款
    网际网
    挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
    提交评论

    清空信息
    关闭评论
    弱电工程公司
    快捷导航
    技术扣扣
    付款方式
    邮件订阅
    联系我们
    加扣扣群
    返回顶部