.htaccess使用方法总结

在利用 .htaccess 的 Rewrite 规则实现 Discuz 论坛的伪静态链接中已经提到过了 .htaccess 的重定向的使用，这里让我们来比较全面的了解一下 .htaccess 吧。 .htaccess 是 Apache 服务器的一个非常强大的分布式配置文件。正确的理解和使用 .htaccess 文件，可以帮助我们优化自己的服务器或者虚拟主机。比如可以利用 .htaccess 文件创建自定义的“ 404 error ”页面，更改很多服务器的配置。而我们所需要做的，仅仅是在这个文本文档中添加几条简单的指令而已。

 

 

 

Unix 或 Linux 系统，或任何版本的 Apache Web 服务 , 都是支持 .htaccess 的，但是有的主机服务商可能不允许你自定义自己的 .htaccess 文件。国外目前主流的虚拟主机提供商，几乎全部都支持自定义功能。

 

启用 .htaccess ，需要修改 httpd.conf ，启用 AllowOverride ，并可以用 AllowOverride 限制特定命令的使用

如果需要使用 .htaccess 以外的其他文件名，可以用 AccessFileName 指令来改变。例如，需要使用 .config ，则可以在服务器配置文件中按以下方法配置：

AccessFileName .config

 

笼统地来说， .htaccess 可以帮我们实现包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定 IP 地址的用户、只允许特定 IP 地址的用户、禁止目录列表，以及使用其他文件作为 index 文件等一些功能。

 

●创建一个 .htaccess 文档

 

.htaccess 是一个古怪的文件名（从 Win 的角度来说，它没有文件名，只有一个由 8 个字母组成的扩展名，不过实际上它是 linux 下的命名，而很多 linux 下的东西，我们向来都会认为很古怪的），在 Win 系统中是不可以直接通过“新建”文件来创建的，不过我们可以利用 cmd 中的 copy 来实现，比如 copy sample.txt .htaccess 。也可以先创建一个 htaccess.txt ，然后 Ftp 到服务器，通过 FTP 来修改文件名。

 

●自定义错误页

.htaccess 的一个应用是自定义错误页面，这将使你可以拥有自己的、个性化的错误页面（例如找不到文件时），而不是你的服务商提供的错误页或没有任何页面。这会让你的网站在出错的时候看上去更专业。你还可以利用脚本程序在发生错误的时候通知你（例如当找不到页面的时候自动 Email 给你）。

你所知道的任何页面错误代码（像 404 找不到页面），都可以通过在 .htaccess 文件里加入下面的文字将其变成自定义页面：

ErrorDocument errornumber /file.html

举例来说，如果我的根目录下有一个 notfound.html 文件，我想使用它作为 404 error 的页面：

ErrorDocument 404 /notfound.html

如果文件不在网站的根目录下，你只需要把路径设置为：

ErrorDocument 500 /errorpages/500.html

以下是一些最常用的错误：

401 - Authorization Required 需要验证

400 - Bad request 错误请求

403 - Forbidden 禁止

500 - Internal Server Error 内部服务器错误

404 - Wrong page 找不到页面

接下来，你要做的只是创建一个错误发生时显示的文件，然后把它们和 .htaccess 一起上传。

 

● .htaccess 命令

�禁止显示目录列表

有些时候，由于某种原因，你的目录里没有 index 文件，这意味着当有人在浏览器地址栏键入了该目录的路径，该目录下所有的文件都会显示出来，这会给你的网站留下安全隐患。

为避免这种情况（而不必创建一堆的新 index 文件），你可以在你的 .htaccess 文档中键入以下命令，用以阻止

 

目录列表的显示：

Options -Indexes

 

�阻止 / 允许特定的 IP 地址

某些情况下，你可能只想允许某些特定 IP 的用户可以访问你的网站（例如：只允许使用特定 ISP 的用户进入某个目录），或者想封禁某些特定的 IP 地址（例如：将低级用户隔离于你的信息版面外）。当然，这只在你知道你想拦截的 IP 地址时才有用，然而现在网上的大多数用户都使用动态 IP 地址，所以这并不是限制使用的常用方法。

你可以使用以下命令封禁一个 IP 地址：

deny from 000.000.000.000

这里的 000.000.000.000 是被封禁的 IP 地址，如果你只指明了其中的几个，则可以封禁整个网段的地址。如你输入 210.10.56. ，则将封禁 210.10.56.0 ～ 210.10.56.255 的所有 IP 地址。

你可以使用以下命令允许一个 IP 地址访问网站：

allow from 000.000.000.000

被允许的 IP 地址则为 000.000.000.000 ，你可以象封禁 IP 地址一样允许整个网段。

如果你想阻止所有人访问该目录，则可以使用：

deny from all

不过这并不影响脚本程序使用这个目录下的文档。

 

�替换 index 文件

也许你不想一直使用 index.htm 或 index.html 作为目录的索引文件。举例来说，如果你的站点使用 PHP 文件，你可能会想使用 index.php 来作为该目录的索引文档。当然也不必局限于“ index ”文档，如果你愿意，使用 .htaccess 你甚至能够设置 foofoo.balh 来作为你的索引文档！

这些互为替换的索引文件可以排成一个列表，服务器会从左至右进行寻找，检查哪个文档在真实的目录中存在。如果一个也找不到，它将会把目录列表显示出来（除非你已经关闭了显示目录文件列表）。

DirectoryIndex index.php index.php3 messagebrd.pl index.html index.htm

�重定向 (rewrite)

.htaccess 最有用的功能之一就是将请求重定向到同站内或站外的不同文档。这在你改变了一个文件名称，但仍然想让用户用旧地址访问到它时，变的极为有用。另一个应用（我发现的很有用的）是重定向到一个长 URL ，例如在我的时事通讯中，我可以使用一个很简短的 URL 来指向我的会员链接。以下是一个重定向文件的例子：

Redirect /location/from/root/file.ext http: 　 //minidx.com/new/file/location.xyz

上述例子中，访问在 root 目录下的名为 oldfile.html 可以键入：

/oldfile.html

访问一个旧次级目录中的文件可以键入：

/old/oldfile.html

你也可以使用 .htaccess 重定向整个网站的目录。假如你的网站上有一个名为 olddirectory 的目录，并且你已经在一个新网站 http: //minidx.com/newdirectory/ 上建立了与上相同的文档，你可以将旧目录下所有的文件做一次重定向而不必一一声明：

Redirect /olddirectory http: 　 //minidx.com/newdirectory

这样，任何指向到站点中 /olddirectory 目录的请求都将被重新指向新的站点，包括附加的额外 URL 信息。例如有人键入：

http: //minidx.com/olddirecotry/oldfiles/images/image.gif

请求将被重定向到：

http: //minidx.com/newdirectory/oldfiles/images/image.gif

如果正确使用，此功能将极其强大。

 

注：由于 Windows Live Writer 编辑这篇文章的时候，遇到 http:// 就会自动添加超级链接，所以上面都特意加了一个空格，而这原本是没有的。

 

●密码保护

尽管有各种各样的 .htaccess 用法，但至今最流行的也可能是最有用的做法是将其用于网站目录可靠的密码保护。尽管 JavaScript 等也能做到，但只有 .htaccess 具有完美的安全性（即访问者必须知晓密码才可以访问目录，并且绝无“后门”可走）。

利用 .htaccess 将一个目录加上密码保护分两个步骤。第一步是在你的 .htaccess 文档里加上适当的几行代码，再将 .htaccess 文档放进你要保护的目录下：

AuthName “Section Name”

AuthType Basic

AuthUserFile /full/path/to/.htpasswd

Require valid-user

你可能需要根据你的网站情况修改一下上述内容中的一些部分，如用被保护部分的名字” Members Area ”，替换掉“ Section Name ”。

/full/parth/to/.htpasswd 则应该替换为指向 .htpasswd 文件（后面详述该文档）的完整服务器路径。如果你不知道你网站空间的完整路径，请询问一下你的系统管理员。

密码保护的 .htpasswd 文件

目录的密码保护比 .htaccess 的其他功能要麻烦些，因为你必须同时创建一个包含用户名和密码的文档，用于访问你的网站，相关信息（默认）位于一个名为 .htpasswd 的文档里。像 .htaccess 一样， .htpasswd 也是一个没有文件名且具有 8 位扩展名的文档，可以放置在你网站里的任何地方（此时密码应加密），但建议你将其保存在网站 Web 根目录外，这样通过网络就无法访问到它了。

创建好 .htpasswd 文档后（可以通过文字编辑器创建），下一步是输入用于访问网站的用户名和密码，应为：

username:password

“ password ” 的位置应该是加密过的密码。你可以通过几种方法来得到加密过的密码：一是使用一个网上提供的 permade 脚本或自己写一个；另一个很不错的 username/password 加密服务是通过 KxS 网站，这里允许你输入用户名及密码，然后生成正确格式的密码。对于多用户，你只需要在 .htpasswd 文档中新增同样格式的一行即可。另外还有一些免费的脚本程序可以方便地管理 .htpasswd 文档，可以自动新增 / 移除用户等。

当你试图访问被 .htaccess 密码保护的目录时，你的浏览器会弹出标准的 username/password 对话窗口。如果你不喜欢这种方式，有些脚本程序可以允许你在页面内嵌入 username/password 输入框来进行认证，你也可以在浏览器的 URL 框内以以下方式输入用户名和密码（未加密的）：

http://username:[email protected]/directory/