Apache服务器的.htaccess是一个非常强大的分布式配置文件,学会使用.htaccess,对虚拟主机用户来说,可以实现众多的功能。这里有一篇很容易让人理解的.htaccess介绍,作为入门文章非常的适合。
第一节 简介
本文简单介绍了关于.htaccess文件及其功能的知识,可以用来优化您的网站(SEO优化等)。.htaccess是Apache的一个配置文件,用于在不重启服务器的情况下修改部分服务器设置参数。例如,最常用的功能是创建自定义的“404 错误”页面。.htaccess 使用起来也相当简单,只需要在网站根目录放置一个.htaccess的文件,添加几行代码就可以了。更加深入的学习请参见笔者写的另一篇文章《.htaccess rewrite 规则详细说明》
- 我的主机是否支持.htaccess?
理论上讲,所有Linux&Unxi下的Apache服务器均支持.htaccess设置。不过,最终决定权在于提供服务的空间商,你可以咨询空间商客服,或者自己测试一下,方法很简单,在网站根目录下的.htaccess文件中写入://将所有请求都重定向到指定域名
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} ^.*$
RewriteRule ^.*$ http://www.cnphp.info [R=301,L]如果重定向成功,恭喜,你的主机支持.htaccess设置
- 使用.htaccess能做什么?
可以做很多事情啦,包括:- 文件夹密码保护
- 用户自动重定向
- 自定义错误页面
- 改变你的文件扩展名
- 封禁特定IP地址的用户
- 只允许特定IP地址的用户
- 禁止目录列表
- 使用其他文件作为默认的index文件
- 如何自定义错误页面?
首先,我想向大家介绍一下如何在.htaccess中设置自定义错误页面,做为一个入门的例子,相当简单。
ErrorDocument HTTP响应代码 /file.html
如果用户访问了一个不存在的页面,那么我可以把他转到一个页面,告诉他,这个页面不存在,这样作非常友好;同时,搜索引擎也很喜欢,对SEO很有帮助哦!
ErrorDocument 404 /nofound.html
将/notfound.html 编辑好放在根目录下就可以了,自己动手做好后试试看效果?
常用的响应代码有:- 401 – Authorization Required 需要验证
- 400 – Bad request 错误请求
- 403 – Forbidden 禁止
- 500 – Internal Server Error 内部服务器错误
- 404 – Wrong page 找不到页面
第二节 .htaccess 命令
- 禁止目录列表
如果目录下没有index(如:index.htm)文件,Apache默认情况下会显示该目录下所有文件的列表,这会给你的网站留下安全隐患。为避免这种情况出现,要么把所有目录都加上index文件(如果目录多,就很麻烦了)。可以在.htaccess使用如下指令,以阻止目录列表的显示,很方便吧 ^_^:
Options -Indexes - 阻止/允许特定的IP地址
网站有时难免会遭到一些来意不明的用户侵扰,防范这些用户的最好办法之一就是禁止某些IP地址访问网站;或者,基于一些特殊原因,你可能只想允许某些特定 IP的用户可以访问你的网站(例如:只允许使用特定IP用户进入某个目录),或者想封禁某些特定的IP地址(例如:将未经IP授权的用户隔离于你的信息版面外)。当然,这只在你知道你想拦截的IP地址时才有用,然而现在网上的大多数用户都使用动态IP地址,所以这并不是限制使用的常用方法。
在.htaccess中可以使用如下指令禁止一个IP地址访问:
deny from 000.000.000.000
这里的000.000.000.000是被禁止的IP地址,如果你只指明了其中的几个,则可以禁止整个网段的地址访问。如你输入”114.11.128.” ,则将禁止114.11.128.0~114.11.128.255的所有IP地址访问。
那么如何允许一个IP地址访问网站呢?命令也很简单
allow from 000.000.000.000
被允许的IP地址则为000.000.000.000,你可以象封禁IP地址一样封禁整个网段。
如果你想阻止所有人访问该目录,则可以使用:
deny from all
不过这并不影响脚本程序使用这个目录下的文档。 - 替换index文件
也许你不想一直使用index.htm或index.html作为目录的索引文件。举例来说,如果你的站点使用PHP文件,你可能会想使用 index.php来作为该目录的索引文档。当然也不必局限于“index”文档,如果你愿意,使用.htaccess你甚至能够设置 foofoo.balh来作为你的索引文档!
这些互为替换的索引文件可以排成一个列表,服务器会从左至右进行寻找,检查哪个文档在真实的目录中存在。如果一个也找不到,它将会把目录列表显示出来(除非你已经关闭了显示目录文件列表)。
DirectoryIndex index.php index.php3 messagebrd.pl index.html index.htm - 重定向
.htaccess最有用的功能之一就是将请求重定向到同站内或站外的不同文档。这在你改变了一个文件名称,但仍然想让用户用旧地址访问到它时,变的极为有用。另一个应用(我发现是很有用的)是重定向到一个长URL,例如在我的时事通讯中,我可以使用一个很简短的URL来指向我的会员链接。以下是一个重定向文件的例子:
Redirect /location/from/root/file.exthttp://www.othersite.com/new/file/location.xyz
上述例子中,访问在root目录下的名为oldfile.html可以键入:
/oldfile.html
访问一个旧次级目录中的文件可以键入:
/old/oldfile.html
你也可以使用.htaccess重定向整个网站的目录。假如你的网站上有一个名为olddirectory的目录,并且你已经在一个新网站 http://www.newsite.com/newdirectory/上建立了与上相同的文档,你可以将旧目录下所有的文件做一次重定向而不必一一声明:
Redirect /olddirectory http://www.newsite.com/newdirectory
这样,任何指向到站点中/olddirectory目录的请求都将被重新指向新的站点,包括附加的额外URL信息。例如有人键入:http://www.youroldsite.com/olddirecotry/oldfiles/images/image.gif
请求将被重定向到:
http://www.newsite.com/newdirectory/oldfiles/images/image.gif
如果正确使用,此功能将极其强大。
第三节 密码保护
尽管有各种各样的.htaccess用法,个人认为最有用之一就是用它来设置网站目录的密码保护。尽管JavaScrip等也能做到,但只有.htaccess具有完美的安全性(即访问者必须知晓密码才可以访问目录,并且绝无“后门”可走)。
- 使用.htaccess进行密码保护
利用.htaccess将一个目录加上密码保护分两个步骤。第一步是在你的.htaccess文件中插入如下代码,再将.htaccess文档放进你要保护的目录下:AuthName “Section Name” #用户名
AuthType Basic #认证方式
AuthUserFile /full/path/to/.htpasswd #密码文件
Require valid-user - 使用.htpasswd存放用户名和密码
目录的密码保护比.htaccess的其他功能要麻烦些,因为你必须同时创建一个包含用户名和密码的文档,用于访问你的网站,相关信息(默认)位于一个名为.htpasswd的文档里。像.htaccess一样,.htpasswd也是一个没有文件名且具有8位扩展名的文档,可以放置在你网站里的任何地方(此时密码应加密),但建议你将其保存在网站Web根目录外,这样通过网络就无法访问到它了。 - 设定用户名和密码
创建.htpasswd的方法有两种。
一种使用命令行工具:htpasswd,对于Linux系统一般放在/usr/bin下,Windows下放在Apache的Bin目录下(htpasswd.exe),命令如下(我只列出常用的几个选项):htpasswd -c passwordfile username
htpasswd -b passwordfile username password
htpasswd -D passwordfile username
-c 创建一个密码文件,并增加一个用户
-b 增加一个用户
-D 删除一个用户另一种方式是手动创建:创建好.htpasswd文档后(可以通过文字编辑器创建),下一步是输入用于访问网站的用户名和密码,应为:
username:password
“password”的位置应该是加密过的密码。提供一个很不错的username/password加密服务网站KxS,可以输入用户名及密码,然后生成正确格式的密码。
对于多用户,你只需要在.htpasswd文档中新增同样格式的一行即可。另外还有一些免费的脚本程序可以方便地管理.htpasswd文档,可以自动新增/移除用户等。 - 如何访问有密码保护的网站
当你试图访问被.htaccess密码保护的目录时,你的浏览器会弹出标准的username/password对话窗口。如果你不喜欢这种方式,有些脚本程序可以允许你在页面内嵌入username/password输入框来进行认证,你也可以在浏览器的URL框内以以下方式输入用户名和密码(未加密的):http://username:password@www.website.com/directory/