înregistrare Logare
Puncte:1
Ryflex avatar Server

Setarea antetului Apache cu condiții de excludere a căilor/directoarelor/ip-urilor serverului

drapel id
Ryflex

Folosesc un plugin WordPress numit Duplicator Pro și cea mai bună modalitate de instalare cu instalatorii lor este să folosesc IP-ul serverului mai degrabă decât domeniul, deoarece astfel se completează automat și se conectează la server mai ușor, fără a declanșa, de asemenea, mai multe reguli ModSecurity.

Cea mai bună adresă URL de instalare este:

http://111.222.333.444/~customcpanelaccount/customfolder/installer.php

În loc de:

https://website.com/customfolder/installer.php

Dacă încărcați oricare dintre aceste fișiere, acesta vă redirecționează automat către:

/customfolder/dup-installer/main.installer.php

Cu toate acestea, deoarece serverul are următoarea regulă Apache/LiteSpeed, redirecționează automat http:// la https://, ceea ce face ca acesta să afișeze următorul mesaj:

Conectați-vă la rețea

<IfModule mod_headers.c>
    Header always set Content-Security-Policy "upgrade-insecure-requests;"
</IfModule>

Încerc să găsesc o modalitate de a face ca regula Apache/LiteSpeed ​​de mai sus să se aplice numai domeniilor, nu IP-urilor directe SAU să o facă astfel încât să nu se declanșeze atunci când se utilizează fișierul de installer.php, main.installer.php și directorul de /dup-installer/

Este păcat că nu există declarații de tip FilesNotMatch / DirectoryNotMatch / LocationNotMatch.

Oricine are idei, aș aprecia foarte mult ajutorul/sfatul!

18
0 + 0
Puncte:0
avatar Server
drapel kz
MrWhite

Puteți seta o variabilă de mediu (de ex. DOMAIN_REQUESTED) dacă este solicitat un domeniu (spre deosebire de adresa IP) și setați Antet în mod condiționat, pe baza faptului că această var var este setată folosind env= argument.

De exemplu:

SetEnvIf Gazdă „[a-z]” DOMAIN_REQUESTED
Antetul setat întotdeauna Content-Security-Policy „upgrade-insecure-requests;” env=DOMAIN_REQUESTED

Dacă Gazdă antetul conține un caracter a-z, atunci trebuie să solicitați un nume de domeniu, nu adresa IP. Caz în care DOMAIN_REQUESTED env var este setat la 1.

In orice caz...

  • Pare ciudat că ar fi de preferat să instalați acest lucru pe HTTP nesigur folosind adresa IP a serverului și un director web pentru fiecare utilizator?! Directoarele web per utilizator (mod_userdir) sunt, în general, cel mai bine evitate, deoarece se încurcă într-adevăr cu căile URL legate de rădăcină.

  • Dacă acest lucru este doar pentru procesul de instalare, nu puteți pur și simplu să comentați asta Antet directivă temporar?

Este păcat că nu există declarații de tip FilesNotMatch / DirectoryNotMatch / LocationNotMatch.

Ei bine, există într-un fel, așa cum puteți folosi un negativ-privire (sau uita-te in spate) în expresia regex pentru a determina când apare o potrivire nu apar.

...SAU pentru ca acesta să nu se declanșeze atunci când utilizați fișierul of installer.php, main.installer.php și directorul de /dup-installer/

The Politica de securitate a conținutului: solicitări de actualizare nesigure; Antetul răspunsului HTTP afectează numai elementele conectate, nu navigarea de nivel superior. Deci acest lucru nu se aplică installer.php și main.installer.php oricum. Dacă aceste cereri sunt upgradat (sau, mai probabil, „redirecționat”), atunci altceva face asta.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.