老薛主机帮助中心

一、.htaccess 简介

1. 什么是 .htaccess

.htaccess 是一个纯文本文件，里面存放着 Apache 服务器配置相关的一些指令，它类似于 Apache 的站点配置文件，如 httpd.conf（Apache2 已经支持多站点，因此你的站点配置文件可能在 /etc/apache2/conf.d/ 目录下）。
.htaccess 与 httpd.conf 配置文件不同的是，它只作用于当前目录。另外 httpd.conf 是在 Apache 服务启动的时候就加载的，而 .htaccess 只有在用户访问目录时加载，开销大、速度慢。
既然如此，为什么我们还要用 .htaccess 呢？因为它配置起来简单，它还支持重定向、URL 重写以及访问验证，另外它管理起来很方便，可以很好适应网站迁移。总之，各有优缺点，主要就看你是要从全局考虑还是只配置单个目录。

2. AllowOverride All

通常情况下，Apache 是默认启用 .htaccess 的，但是为了以防万一，请检查一下自己站点的配置文件，如 httpd.conf，是否有这行：

AllowOverride All

这行允许重写配置文件。也就是如果能够从 .htaccess 加载配置文件，那么就以 .htaccess 为配置文件对其所在目录进行配置。

老薛主机所有云主机均支持 .htaccess，可直接使用，无需额外配置。

3. 500 错误

如果你租用了云服务提供商的主机或者空间，那么他们可能不会给你读写 httpd.conf 文件的权限，你也不可能检查 AllowOverride 命令参数是否为 All，这时，你可以新建一个目录，在里面写一个 .htaccess 文件，文件中随意写入一些服务器看不懂的东西，然后访问该目录里的一个页面，耐心等待 500 错误的出现。
如果没有出现，那么 .htaccess 没有被启用，你需要向你的服务供应商寻求帮助；如果出现了，那么恭喜你，你可以对当前目录重写 Apache 配置。
注意：.htaccess 语法错误可能会影响整个站点，如果你不确定这样做是否安全，请联系你的云服务供应商。

二、.htaccess 访问控制 (Allow/Deny)

1. 访问控制基础：Order 命令

为了限制用户访问一些关键目录，.htaccess 可以提供目录访问限制。你只需要在要限制的目录中，加入如下 .htaccess 文件：

# no one gets in here!
deny from all

这会限制所有用户通过浏览器访问该目录，这太一刀切了，因此我们还可以增加一些特定的条件，如允许指定 IP 地址的访问：

Order Allow,Deny
Deny from All
Allow from 192.168.0.0/24

Order 命令

Order 命令是一个难点，也是配置 apache 的基础，它决定了 Apache 处理访问规则的顺序。

• 通过Allow,Deny参数，Apache 首先找到并应用 Allow 命令，然后应用 Deny 命令，以阻止所有访问。
• 通过Deny,Allow参数，Apache 首先找到并应用 Deny 命令，然后应用 Allow 命令，以允许所有访问。

了解 Order 的用法后，再仔细考虑下上面的例子，你或许能够发现 Deny 命令是多余的，以下用法和之前的描述语义相同：

Order Allow,Deny
Allow from 192.168.0/24

2. 利用 .htaccess 过滤域名或网络主机 (Allow/Deny)

下例可以限制所有含有“domain.com”的网络主机访问网站：

Order Allow,Deny
Allow from all
Deny from .*domain\.com.*

有关 htaccess 的正则表达式用法，可以参考：https://help.laoxuehost.com/other-help/htaccess-regular-expression.html

3. 利用 .htaccess 禁止访问指定文件 (Files)

Files 命令可以用于过滤指定文件：

# secure htaccess file
<Files .htaccess>
 order allow,deny
 deny from all
</Files>

4. 利用 .htaccess 禁止访问指定文件类型 (FilesMatch)

下面的代码将限制访问所有 .log 和 .exe 文件：

<FilesMatch ".(log|exe)$">
 Order allow,deny
 Deny from all
</FilesMatch>

我们还可以通过 Files 命令描述文件类型，但是需要在命令后面加一个波浪线 (~)，该符号启用 Files 命令的正则表达解析功能：

<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

有以下几点需要读者注意：

• Files 之后的波浪线用于开启“正则表达式”分析。请注意，这是个过时的用法，Apache 更推荐使用 指令。
• 正则表达式必须在双引号之间，有关 htaccess 的正则表达式用法，可以参考：https://help.laoxuehost.com/other-help/htaccess-regular-expression.html
• 双引号中的“管道符” (|) 用于将两种文件类型（.log 和 .exe）分开，相当于逻辑“或”。
• Order 命令必须嵌在 Files 节 (Section) 中，否则将会应用到所有文件。
• Satisfy All 表示必须同时满足主机级别 (Allow/Denay) 和用户级别 (Require) 的限制，All 是默认值，该行可以省略。

5. 高级访问控制(Rewrite)

我们还可以通过运用 Rewrite 实现更强大的访问控制，但是 Rewrite 不是本文讨论的内容，具体可以查看：https://help.laoxuehost.com/other-help/htaccess-url-rewrite-and-redirect.html

三、利用 .htaccess 进行密码保护与验证

1. 配置 .htaccess

AuthType Basic
AuthName "restricted area"
AuthUserFile /usr/local/var/www/html/.htpasses
require valid-user

这个配置文件可以保护 .htaccess 所在的整个目录，简单说明下参数：

• AuthType：验证类型为基本类型，密码以明文方式传输到服务器上；
• AuthName：验证提示，会出现在验证对话框中；
• AuthUserFile：验证配置文件，用于匹配用户名与密码，该密码是加密保存的；
• require valid-user：只有在 AuthUserFile 中出现的用户才可以通过验证。

如果验证失败，则会出现 401 错误。

2. 生成 .htpasses 文件

如何生成 .htpasses 文件呢？我们通过 htpasswd 命令生成密码文件：

htpasswd -c /usr/local/var/www/html/.htpasses lesca

它会提示你输入密码，并确认。之后将密码文件 .htpasses 保存在 /usr/local/var/www/html/ 目录下。

3. 对文件进行密码保护

保护与 .htaccess 在同一目录下的文件 secure.php：

# password-protect single file
<Files secure.php>
AuthType Basic
AuthName "Prompt"
AuthUserFile /home/path/.htpasswd
Require valid-user
</Files>

保护 .htaccess 所在目录下的多个文件：

# password-protect multiple files
<FilesMatch "^(execute|index|secure|insanity|biscuit)*$">
AuthType basic
AuthName "Development"
AuthUserFile /home/path/.htpasswd
Require valid-user
</FilesMatch>

4. 对指定 IP 进行密码保护

仅允许 IP 地址为 99.88.77.66 的主机直接访问该目录，其他 IP 需要验证。

AuthType Basic
AuthName "Personal"
AuthUserFile /home/path/.htpasswd
Require valid-user
Allow from 99.88.77.66
Satisfy Any

5. 安全性

出于安全考虑，将 .htpasses 文件存放在 WEB 目录树之外也许是个好方法，但是由于 .htpasses 是隐藏文件，而且 Apache 不会输出隐藏文件，因此可以满足基本的安全要求。这是通过在主配置文件中加入如下限制实现的：

<Files ~ "^\.ht">
 Order allow,deny
 Deny from all
 Satisfy All
</Files>

一般而言，这是默认设置，用户无需手动添加。

四、目录浏览与主页

1. 启用目录浏览

# enable directory browsing
Options All +Indexes

2.禁用目录浏览

# disable directory browsing
Options All -Indexes

我们还可以通过 IndexIgnore 指令来禁用目录浏览。

# prevent display of select file types
IndexIgnore *.wmv *.mp4 *.avi *.etc

3. 自定义目录浏览

如果你希望 Apache 在展示你的WEB目录时看起来与众不同，那么你需要启用 FancyIndexing 选项：

<IfModule mod_autoindex.c>
 IndexOptions FancyIndexing 
</ifModule>

通过这个选项，你可以实现自定义图标、添加文件类型描述、按日期排序等。

4. 配置目录主页文件

即使启用了目录浏览，Apache 未必会展示该目录的内容，因为该目录可能存在像 index.html 这样的默认主页文件。Apache 会有限展示主页文件，我们可以通过 .htaccess 设置：

DirectoryIndex index.html index.php index.htm

5. 配置错误页面

如果 Apache 遇到错误，就会输出错误页面。配置自定义的错误页面，也许可以挽留即将离开的用户。

# custom error documents
ErrorDocument 401 /err/401.php
ErrorDocument 403 /err/403.php
ErrorDocument 404 /err/404.php
ErrorDocument 500 /err/500.php

相关教程

• .htaccess 教程：URL 重写(Rewrite)与重定向(Redirect)
  • https://help.laoxuehost.com/other-help/htaccess-url-rewrite-and-redirect.html
• .htaccess 教程：正则表达式、重定向代码
  • https://help.laoxuehost.com/other-help/htaccess-regular-expression.html