我已使用Basic Auth设置虚拟主机。
<Directory ~ "^/home/www/.*/">
Options Indexes MultiViews FollowSymLinks
AllowOverride All
Order allow,deny
DirectoryIndex index.html index.php
AuthType Basic
AuthName "HALMA"
AuthUserFile /usr/local/apache/passwd/passwords
Require valid-user
Allow from 10.0.0
Satisfy Any
</Directory>
<Files ~ "\.(htaccess|inc|tpl)$">
Order deny,allow
Deny from all
</Files>
(文件部分也可能在.htaccess中 - 效果相同)
现在.htaccess,.inc和.tpl文件是可访问的,如果用户成功验证基本身份验证,这不是预期的行为。文件限制应始终处于活动状态,以防止任何用户访问已登录或未登录的关键文件。
我尝试将文件部分从vhost配置移动到.htaccess,反之亦然,将10.0.0注释掉。
如果我注释掉整个Auth的东西,那就可以了。
如果有人能指出我正确的方向,我会很高兴。