.htaccess安全

在我的.htaccess文件中,我一直在试图弄清楚是否应该使用:

选项无

这当然会禁用所有额外的选项,但我一直在阅读关于使用“选项无”的不同意见,因为有人声称+ FollowSymlinks是为了更好的安全性和性能,而有些人声称FollowSymlinks是一个大安全风险。

我应该使用“选项无”更好的安全性?

谢谢!

考虑到安全性,请考虑禁用.htaccess,除非在您的网站中有必要。 ( AllowOverride None )然后,你可以在Apache的configuration中全局设置你的选项。

也就是说,符号链接不一定是坏的,但是你必须清楚地理解你的Apache的实现。 对于非chrooted的Apache,符号链接肯定会给文档根目录之外的文件带来很大的风险。

Options None提供更多的安全性,因为那样就没有机会通过符号链接访问文档根目录之外的访问。

这可能会影响业绩。 我必须检查,但通过禁止符号链接apache可能不得不lstat每个文件,以确定它是否是一个符号链接第一。

你能否引用这些声称允许符号链接会更好的安全性和性能的来源?

编辑:但是,请注意,禁止符号链接不是防弹的。 Apache手册说:“省略这个选项不应该被视为安全限制,因为符号链接testing是受竞争条件的影响。 也就是说,在lstat之间说这不是一个链接和时间apache读取它有人可以把它变成一个链接。