LAMP架构之设置防盗链及访问控制

Wesley13
• 阅读 734

本文索引:

  • 配置防盗链
    • 为什么要配置防盗链
    • 什么是referer
    • 如何配置
    • 效果验证
  • 访问控制Directory
    • 虚拟主机配置文件
    • 效果验证
  • 访问控制--FilesMatch
    • 修改虚拟主机配置文件
    • 效果验证

配置防盗链

为什么要配置防盗链

第三方的站点可以通过引用的方式来获取本服务器上的资源如图片等,但是相应的网络资源的使用这对于本机而言往往是多余的、浪费的。因此我们需要限制这方面的资源访问,通过设置防盗链的方式。

什么是referer

referer是http数据包的header的一部分,当浏览器其向服务器发送请求时,将带上referer,以此来告诉浏览器该请求时从什么网页链接过来的,浏览器处理该链接并显示。

设置了防盗链后,一些站点将无法通过引用的方式来获取服务器的资源,只能通过直接访问本机来获取,这样就将有效的流量访问限定到了本机,不被不法站点所利用。

如何配置

编辑虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 插入下面的内容:
    <Directory /data/wwwroot/111.com>
        # 将111.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://111.com" local_ref  
        
        # 将aaa.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://aaa.com" local_ref  
        
        # 将空referer设为白名单,对应规则Allow;空referer即直接访问的地址
        SetEnvIfNoCase Referer "^$" local_ref  
        
        # 对txt、doc等格式的文件执行访问控制
        <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
            # 白名单地址allow,其他deny
            # 执行顺序依次为allow、deny,反过来将导致都被禁止访问
            Order Allow,Deny 
            
            # 白名单为local_ref对应的地址
            Allow from env=local_ref 
        </FilesMatch>
    </Directory>

效果验证

使用windows浏览器测试时,前提需要设置hosts文件!

我主机内的设置为

192.168.65.133 111.com
  • 访问空referer(直接访问) 注释掉空referer行

LAMP架构之设置防盗链及访问控制

不注释空referer行

LAMP架构之设置防盗链及访问控制

  • 第三方站点访问(引用)

    // 将第三方的域名加入白名单,我这里使用的是猿课论坛 SetEnvIfNoCase Referer "http://ask.apelearn.com" local_ref // 空referer行注释掉 #SetEnvIfNoCase Referer "^$" local_ref

    保存后重启访问访问

效果如下:

LAMP架构之设置防盗链及访问控制

成功获取到了图片

LAMP架构之设置防盗链及访问控制

  • 使用curl命令模拟referer:-e参数

    [root@localhost 111.com]# curl -e "http://111.com/test.jpg" -x 127.0.0.1:80 111.com/test.jpg -I HTTP/1.1 200 OK Date: Mon, 25 Dec 2017 14:14:43 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Last-Modified: Mon, 25 Dec 2017 13:20:20 GMT ETag: "18652-5612a0725ed00" Accept-Ranges: bytes Content-Length: 99922 Content-Type: image/jpeg


访问控制Directory

限制用户访问部分目录,允许特定ip访问

虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
添加如下内容:
    <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow  # 决定规则的先后顺序
        Deny from all
        Allow from 127.0.0.1  # 只允许本地访问
    </Directory>

效果验证

  • allow的ip访问,200 ok

    [root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/index.php -I HTTP/1.1 200 OK Date: Tue, 21 Nov 2017 12:58:07 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 X-Powered-By: PHP/5.6.30 Content-Type: text/html; charset=UTF-8

  • 通过其他ip访问,403 forbidden,限制访问

    [root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/index.php -I HTTP/1.1 403 Forbidden Date: Tue, 21 Nov 2017 12:59:11 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1


访问控制--FilesMatch

除了能够限制访问目录,还可以限制某些文件的访问

修改虚拟主机配置文件

[root@localhost ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf
修改目录访问控制的语段:
<Directory /data/wwwroot/111.com>
    # 对文件admin.php进行限制
    <FilesMatch  "admin.php(.*)"> 
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>

效果验证

  • 通过允许的ip访问,由于文件不存在,返回404状态码

    [root@localhost ~]# curl -x 127.0.0.1:80 http://111.com/admin/admin.php?123 -I HTTP/1.1 404 Not Found Date: Tue, 21 Nov 2017 13:11:42 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1

  • 通过其他ip访问,返回403 forbidden,限制访问

    [root@localhost ~]# curl -x 192.168.65.133:80 http://111.com/admin/admin.php?123 -I HTTP/1.1 403 Forbidden Date: Tue, 21 Nov 2017 13:12:05 GMT Server: Apache/2.4.28 (Unix) PHP/5.6.30 Content-Type: text/html; charset=iso-8859-1

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
3个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Stella981 Stella981
3年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
LNMP架构之防盗链、访问控制、php解析、代理的设置
本文索引:Ningx防盗链Ningx访问控制针对目录的访问控制针对文件的访问控制针对user\_agentNginx解析php相关配置访问报502错误分析Nginx代理Nginx防盗链修改虚拟主机配置文件
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
9个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这