INASOFT 管理人のひとこと


フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
本業の方のお仕事が再び忙しくなりつつあるので、断続的にしばらく更新が止まることがあります。

目次 | ←前へ / 2013-02-21 00:00 / 次へ→ / 最新へ⇒

■Webサイトのアクセス禁止設定の一部が間違ってた!

2013/ 2/21 0:00:00


RSSRSS配信中

https://www.inasoft.org/








 .htaccessの話。
特に切羽詰まった事情があったわけではないのですが、なんとなく、セキュリティ的に必要かと思い、「拡張子を持たないファイル(ドットの含まれないファイル名)へのWebアクセスを禁止しておいた方が良いだろう」と思って、次のようなファイルへのWebアクセスを禁止する措置を .htaccess に書いておりました。

 ^[^.]+$

上記の正規表現の意味するところは、ファイル名の中にドット(.)が1つも登場しないもの……つまり、拡張子を持たないファイルですね。それへのアクセスが来たら、403(Forbidden; アクセス禁止)を返すようにしておりました。

ところが、一昨日ようやく気づいたのですが、この記述があると、ファイル名だけでなく、ディレクトリ名についてもアクセス禁止となってしまうんですね。

すなわち、

  https://www.inasoft.org/webhelp/

というディレクトリへのアクセスは正当でありアクセスできますが、

  https://www.inasoft.org/webhelp

という、最後に / の付かないURLでアクセスした場合に、"webhelp" 部分がドットの内ファイル名とみなされるのかなんなのか、どうやらアクセス禁止扱いとなってしまうんですね。

通常、後者のようなURLへのアクセスがあった場合は、ブラウザが自動的に後ろに / を付加し、前者のURLに転送してアクセスしてくれます。

ところが、後者のURLを入力してみた段階で 403(Forbidden; アクセス禁止)となってしまうと、その後のブラウザの自動転送の動きが発生しなくなってしまう。
大失敗でした。

 .htaccessは、もっと慎重に書かないといけませんね。




目次 | ←前へ / 2013-02-21 00:00 / 次へ→ / 最新へ⇒


目次の表示:


ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメールフィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。本ページは公開から1年半後の任意のタイミングで削除される予定です。




2555556 (+0161)[+0539]

Copyright© 2010-2021 INASOFT