Context Navigation

httpd

Timestamp:: Sep 20, 2010 10:54:40 PM (15 years ago)
Author:: mitty
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

TipAndDoc/network/httpd

-                      v4
+                      v5
    * デフォルトでは「Order Deny,Allow」 => http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order
      * Deny ディレクティブが Allow ディレクティブの前に評価されます。 アクセスはデフォルトで許可されます。Deny ディレクティブに合わないか、Allow ディレクティブに合うクライアントはアクセスを許可されます。
+   * '''使用例''' (サーバへのアクセスはデフォルトで禁止、/tracへのアクセスは許可。但し、GET以外は禁止)
+{{{
+<Directory />
+        Options FollowSymLinks
+        AllowOverride None
+        Order Deny,Allow
+        Deny from all
+</Directory>
+ScriptAlias /trac       /usr/share/trac/cgi-bin/trac.fcgi
+<Location /trac>
+        <LimitExcept GET>
+                Deny from all
+        </LimitExcept>
+</Location>
+}}}
+   * 省略されているOrderディレクティブ(デフォルトの「Order Deny,Allow」)は、<LimitExcept>の範囲ではなく、外の<Location>以下に適用されていると考えるのが妥当
+     * 設定の失敗例として、以下のように設定するとGETではないPOSTメソッド等も制限されなくなり、期待する動作(GET以外のメソッドを403にする)を取らなくなる
+{{{
+<Directory />
+        Options FollowSymLinks
+        AllowOverride None
+        Order Deny,Allow
+        Deny from all
+</Directory>
+ScriptAlias /trac       /usr/share/trac/cgi-bin/trac.fcgi
+<Location /trac>
+        Allow from all
+        <LimitExcept GET>
+                Deny from all
+        </LimitExcept>
+</Location>
+}}}
+     * <Location>全体で「Deny from all => Allow from all」の順で適用され、結果として全てのメソッドが制限されなくなっていると思われる