INASOFT 管理人のひとこと
フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
2022年7月下旬より再び本業多忙化してきているため、更新頻度は落ちます。 [2022/7/24 19:32]
Tweet
■Webサイトのアクセス禁止設定の一部が間違ってた!
2013年 2月21日(木) 0:00:00 [さくらのブログから転記]
RSS配信中
.htaccessの話。
特に切羽詰まった事情があったわけではないのですが、なんとなく、セキュリティ的に必要かと思い、「拡張子を持たないファイル(ドットの含まれないファイル名)へのWebアクセスを禁止しておいた方が良いだろう」と思って、次のようなファイルへのWebアクセスを禁止する措置を .htaccess に書いておりました。
^[^.]+$
上記の正規表現の意味するところは、ファイル名の中にドット(.)が1つも登場しないもの……つまり、拡張子を持たないファイルですね。それへのアクセスが来たら、403(Forbidden; アクセス禁止)を返すようにしておりました。
ところが、一昨日ようやく気づいたのですが、この記述があると、ファイル名だけでなく、ディレクトリ名についてもアクセス禁止となってしまうんですね。
すなわち、
https://www.inasoft.org/webhelp/
というディレクトリへのアクセスは正当でありアクセスできますが、
https://www.inasoft.org/webhelp
という、最後に / の付かないURLでアクセスした場合に、"webhelp" 部分がドットの内ファイル名とみなされるのかなんなのか、どうやらアクセス禁止扱いとなってしまうんですね。
通常、後者のようなURLへのアクセスがあった場合は、ブラウザが自動的に後ろに / を付加し、前者のURLに転送してアクセスしてくれます。
ところが、後者のURLを入力してみた段階で 403(Forbidden; アクセス禁止)となってしまうと、その後のブラウザの自動転送の動きが発生しなくなってしまう。
大失敗でした。
.htaccessは、もっと慎重に書かないといけませんね。
目次の表示:
ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメール、フィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。
- 最近の更新 -
3128955 (+0334)[+0391]
Copyright© 2010-2024 INASOFT