有各种各样的帖子建议您如何添加.htaccess文件以从URL中删除index.php。但是,为了使.htaccess文件起作用,必须更改AllowOverride(通常为“All”)。
This tutorial解释说使用mod_rewrite的.htaccess文件是一种误解,可以而且应该在主配置文件中完成。
我的网络安全官已通知我 - 我引用 - “将AllowOverride更改为All会增加Web服务器的风险,因为如果被利用,入侵者/黑客/机会主义者可能会覆盖主服务器配置,可能会让他们升级到各种各样;这将是一个严重的安全漏洞“。我不确定这有多重!
所以我的问题是;
答案 0 :(得分:4)
.htaccess存在一点安全问题,即如果黑客/入侵者掌握了您的文件系统,那么他们就可以修改重写规则并改变您网站的行为。但请记住,如果黑客获取了您的DOCUMENT_ROOT文件夹,那么通过修改/删除任何其他代码也可以造成更多的破坏,并且您手中有更大的问题。
然而.htaccess为您提供的最大灵活性是让您控制网站行为,身份验证需要,而无需在Apache配置中进行这些更改并且每次都重新启动它。特别是在共享托管环境网站所有者甚至无法访问Apache配置。