本文索引：

• 配置防盗链
  • 为什么要配置防盗链
  • 什么是referer
  • 如何配置
  • 效果验证
• 访问控制Directory
  • 虚拟主机配置文件
  • 效果验证
• 访问控制--FilesMatch
  • 修改虚拟主机配置文件
  • 效果验证

---

配置防盗链

为什么要配置防盗链

第三方的站点可以通过引用的方式来获取本服务器上的资源如图片等，但是相应的网络资源的使用这对于本机而言往往是多余的、浪费的。因此我们需要限制这方面的资源访问，通过设置防盗链的方式。

什么是referer

referer是http数据包的header的一部分，当浏览器其向服务器发送请求时，将带上referer，以此来告诉浏览器该请求时从什么网页链接过来的，浏览器处理该链接并显示。

设置了防盗链后，一些站点将无法通过引用的方式来获取服务器的资源，只能通过直接访问本机来获取，这样就将有效的流量访问限定到了本机，不被不法站点所利用。

如何配置

编辑虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 插入下面的内容：
    <Directory /data/wwwroot/111.com>
        # 将111.com设为白名单，对应规则Allow
        SetEnvIfNoCase Referer "http://111.com" local_ref  
        
        # 将aaa.com设为白名单，对应规则Allow
        SetEnvIfNoCase Referer "http://aaa.com" local_ref  
        
        # 将空referer设为白名单，对应规则Allow；空referer即直接访问的地址
        SetEnvIfNoCase Referer "^$" local_ref  
        
        # 对txt、doc等格式的文件执行访问控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
            # 白名单地址allow，其他deny
            # 执行顺序依次为allow、deny，反过来将导致都被禁止访问
            Order Allow,Deny 
            
            # 白名单为local_ref对应的地址
            Allow from env=local_ref 
        </FilesMatch>
    </Directory>

效果验证

使用windows浏览器测试时，前提需要设置hosts文件！

我主机内的设置为

192.168.65.133 111.com

• 访问空referer（直接访问） 注释掉空referer行

不注释空referer行

• 第三方站点访问(引用)

  // 将第三方的域名加入白名单,我这里使用的是猿课论坛 SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref // 空referer行注释掉 #SetEnvIfNoCase Referer "^$" local_ref

  保存后重启访问访问

效果如下：

成功获取到了图片

• 使用curl命令模拟referer：-e参数

  [root@localhost 111.com]# curl -e "http://111.com/test.jpg" -x 127.0.0.1:80 111.com/test.jpg -I HTTP/1.1 200 OK Date: Mon, 25 Dec 2017 14:14:43 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Last-Modified: Mon, 25 Dec 2017 13:20:20 GMT ETag: "18652-5612a0725ed00" Accept-Ranges: bytes Content-Length: 99922 Content-Type: image/jpeg

---

访问控制Directory

限制用户访问部分目录，允许特定ip访问

虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加如下内容：
    <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow  # 决定规则的先后顺序
        Deny from all
        Allow from 127.0.0.1  # 只允许本地访问
    </Directory>

效果验证

• allow的ip访问，200 ok

  [root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/index.php -I HTTP/1.1 200 OK Date: Tue, 21 Nov 2017 12:58:07 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 X-Powered-By: PHP/5.6.30 Content-Type: text/html; charset=UTF-8

• 通过其他ip访问，403 forbidden，限制访问

  [root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/index.php -I HTTP/1.1 403 Forbidden Date: Tue, 21 Nov 2017 12:59:11 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1

---

访问控制--FilesMatch

除了能够限制访问目录，还可以限制某些文件的访问

修改虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
修改目录访问控制的语段：
<Directory /data/wwwroot/111.com>
    # 对文件admin.php进行限制
    <FilesMatch  "admin.php(.*)"> 
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

效果验证

• 通过允许的ip访问，由于文件不存在，返回404状态码

  [root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/admin.php?123 -I HTTP/1.1 404 Not Found Date: Tue, 21 Nov 2017 13:11:42 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1

• 通过其他ip访问，返回403 forbidden，限制访问

  [root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/admin.php?123 -I HTTP/1.1 403 Forbidden Date: Tue, 21 Nov 2017 13:12:05 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1