配置文件中的指令可能适用于整个服务器,或者它们可能仅限于应用于特定目录,文件,主机或URL。本文档描述了如何使用配置片段容器或.htaccess
文件来更改其他配置指令的范围。
有两种基本类型的容器。大多数容器针对每个请求都会进行评估。随附的指令仅适用于与容器匹配的请求。另一方面,<IfDefine>
,<IfModule>
和<IfVersion>
容器仅在服务器启动和重新启动时进行评估。如果糨们的条件在启动时为真,那么所附的指令将适用于所有请求。如果条件不为真,则将忽略所附的指令。
<IfDefine>
指令包含只有在httpd命令行中定义了适当参数时才会应用的指令。例如,使用以下配置,仅当使用httpd -DClosedForNow
启动服务器时,所有请求才会重定向到另一个站点:
<IfDefine ClosedForNow> Redirect / http://otherserver.example.com/ </IfDefine>
<IfModule>
指令与上面<IfDefine>
指令也非常相似,除了它包含只有在服务器中有特定模块可用时才会应用的指令。模块必须在服务器中静态编译,或者必须动态编译,并且其LoadModule
行必须在配置文件中更早。只有在需要配置文件才能使用该命令时,才能使用该指令,无论是否安装了某些模块。它不应该用于包含您希望一直工作的指令,因为它可以抑制有关丢失模块的有用错误消息。
在以下示例中,仅当mod_mime_magic
可用时才会应用MimeMagicFile
指令。
<IfModule mod_mime_magic.c> MimeMagicFile conf/magic </IfModule>
<IfVersion>
指令与<IfDefine>
和<IfModule>
非常相似,只不过它包含的指令只会在特定版本的服务器执行时才会应用。该模块设计用于测试套件和大型网络,这些网络必须处理不同的httpd版本和不同的配置。
<IfVersion >= 2.1> # this happens only in versions greater or # equal 2.1.0. </IfVersion>
<IfDefine>
,<IfModule>
和<IfVersion>
可以通过在测试前加上!
符号来应用否定条件。此外,这些部分可以嵌套以实现更复杂的限制。
最常用的配置节容器是更改文件系统或网站空间中特定位置的配置的容器。首先,了解两者之间的区别非常重要。文件系统是操作系统可以看到的磁盘视图。例如,在默认安装中,Apache位于Unix文件系统中的/usr/local/apache2
或Windows文件系统中的“C:/Program Files/Apache Group/Apache2
中。(请注意,正斜杠应始终用作Apache中的路径分隔符,即使对于Windows也是如此。)相反,网站空间是由Web服务器提供并由客户端查看的站点视图。因此,webspace中的path/dir/
对应于Unix上默认Apache安装的文件系统中的路径/usr/local/apache2/htdocs/dir/
。网站空间不需要直接映射到文件系统,因为网页可以从数据库或其他位置动态生成。
文件系统容器
<Directory>
和<Files>
指令及其正则表达式对应项将指令应用于文件系统的某些部分。包含在<Directory>
部分中的指令适用于指定的文件系统目录和该目录的所有子目录(以及这些目录中的文件)。使用.htaccess
文件可以获得相同的效果。例如,在以下配置中,将为/var/web/dir1
目录和所有子目录启用目录索引。
<Directory /var/web/dir1> Options +Indexes </Directory>
包含在<Files>
部分中的指令适用于具有指定名称的任何文件,无论它位于何种目录中。例如,以下配置指令在放置在配置文件的主部分时将拒绝访问任何文件。文件名为private.html
,无论它在哪里找到。
<Files "private.html"> Require all denied </Files>
要处理在文件系统的特定部分中找到的文件,可以组合<Files>
和<Directory>
片段。例如,以下配置将拒绝访问/var/web/dir1/private.html
,/var/web/dir1/subdir2/private.html
,/var/web/dir1/subdir3/private.html
以及其他在/var/web/dir1/
目录下的private.html
实例。
<Directory "/var/web/dir1"> <Files "private.html"> Require all denied </Files> </Directory>
Webspace容器
另一方面,<Location>
指令及其正则表达式对应方更改了Webspace
中内容的配置。例如,以下配置可防止访问以/private
开头的任何URL路径。它将适用于http://yoursite.example.com/private
,http://yoursite.example.com/private123
和http://yoursite.example.com/private/dir/file
的请求。html
以及以/private
字符串开头的任何其他请求。
<LocationMatch "^/private"> Require all denied </LocationMatch>
<Location>
指令不需要与文件系统有任何关系。例如,以下示例显示如何将特定URL映射到mod_status
提供的内部Apache HTTP Server处理程序。文件系统中不需要存在称为服务器状态的文件。
<Location "/server-status"> SetHandler server-status </Location>
重叠的Webspace
为了有两个重叠的URL,必须考虑评估某些部分或指令的顺序。对于<Location>
将是:
<Location "/foo"> </Location> <Location "/foo/bar"> </Location>
另一方面,<Alias>
映射反之亦然:
Alias "/foo/bar" "/srv/www/uncommon/bar" Alias "/foo" "/srv/www/common/foo"
ProxyPass
指令也是如此:
ProxyPass "/special-area" "http://special.example.com" smax=5 max=10 ProxyPass "/" "balancer://mycluster/" stickysession=JSESSIONID|jsessionid nofailover=On
通配符和正则表达式
<Directory>
,<Files>
和<Location>
指令都可以使用shell样式的通配符,如C标准库中的fnmatch
。字符*
匹配任何字符序列,?
匹配任何单个字符,[seq]
匹配seq
中的任何字符。/
字符不会被任何通配符匹配;
如果需要更灵活的匹配,每个容器都有一个正则表达式(正则表达式)对应<DirectoryMatch>
,<FilesMatch>
和<LocationMatch>
,它们允许在选择匹配时使用与perl兼容的正则表达式。但请参阅下面有关配置合并的部分,以了解使用正则表达式部分将如何更改指令的应用方式。
更改所有用户目录配置的非正则表达式通配符部分可能如下所示:
<Directory "/home/*/public_html"> Options Indexes </Directory>
使用正则表达式部分,可以一次拒绝访问多种类型的图像文件:
<FilesMatch "\.(?i:gif|jpe?g|png)$"> Require all denied </FilesMatch>
包含命名组和反向引用的正则表达式将添加到环境中,并以大写形式显示相应的名称。这允许从表达式和模块(如mod_rewrite
)中引用文件名路径和URL的元素。
<DirectoryMatch "^/var/www/combined/(?<SITENAME>[^/]+)"> require ldap-group "cn=%{env:MATCH_SITENAME},ou=combined,o=Example" </DirectoryMatch>
布尔表达式<If>
指令根据可由布尔表达式表示的条件更改配置。例如,如果HTTP Referer标头不以http://www.example.com/
开头,则以下配置拒绝访问。
<If "!(%{HTTP_REFERER} -strmatch 'http://www.example.com/*')"> Require all denied </If>
什么时候用什么?
在文件系统容器和webspace容器之间进行选择实际上非常简单。将指令应用在位于文件系统中的对象时,请始终使用<Directory>
或<Files>
。将指令应用于不驻留在文件系统中的对象(例如从数据库生成的网页)时,请使用<Location>
。
在尝试限制对文件系统中对象的访问时,不要使用<Location>
。这是因为许多不同的网站空间位置(URL)可以映射到相同的文件系统位置,从而可以规避限制。例如,请考虑以下配置:
<Location "/dir/"> Require all denied </Location>
如果请求是http://yoursite.example.com/dir/
,这可以正常工作。但是,如果使用不区分大小写的文件系统呢? 然后,通过请求http://yoursite.example.com/DIR/
可以轻松规避限制。相反,<Directory>
指令将适用于从该位置提供的任何内容,无论其如何调用。(文件系统链接是一个例外。使用符号链接可以将同一目录放在文件系统的多个部分中。<Directory>
指令将遵循符号链接而不重置路径名。因此,为了最高级别的安全性,符号 应使用适当的Options
指令禁用链接。)
如果因为使用区分大小写的文件系统而认为这些都不适用,请记住,还有许多其他方法可将多个网站空间位置映射到同一文件系统位置。因此,应该始终使用文件系统容器。但是,这条规则有一个例外。将配置限制放在<Location "/">
部分是非常安全的,因为无论具体的URL如何,本节都将适用于所有请求。