根据网站安全需要,用户服务器环境中的默认域名须禁止访问。禁用方法参照《bdqt451安全检测服务单.doc》
在实际操作中发现,vsb9单机部署环境,使用以上方法禁用默认域名访问无效。
测试分析:
vsb web端 使用以上方法禁用默认域名访问有效;
vsb 9.4.0及之前版本使用以上方法禁用默认域名访问有效;
问题定位到vsb 9.4.1以后版本(包括暂未发布的9.5.0),使用以上方法禁用默认域名访问无效。查看该版本中的httpd.conf配置文件,发现较之前版本新增了以下配置:
#禁止除get post head以外的请求;
order allow,deny
deny from all
尝试将这段配置注释掉,再测试禁用默认域名访问。此时测试成功。
通过查找资料了解,这段配置的作用为禁止除get post head以外的请求,以提高网站安全性。阅读资料:
解决方法:
修改httpd.conf配置文件,将limitexcept写到指令中,配置如下:
order allow,deny
deny from all
options none
allowoverride none
order deny,allow
deny from all
测试默认域名已被禁用,除get head post以外的http请求方法也已被禁用。问题解决!
原因说明:
apache中配置段的合并的顺序是:
(和)
和同时处理;
和同时处理;
指令是在最后执行的,所以在配置文件中,我们虽然在指令中禁用了默认域名访问,但最后执行指令判断时,此处是允许get head post三种http方法请求访问的。
阅读资料:http://www.php100.com/html/webkaifa/apache/2009/0418/1193.html
|
