Apache HTTP服务器 2.0版本
.htaccess
文件提供了针对目录改变配置的方法。
相关模块 | 相关指令 |
---|---|
.htaccess
文件(或者"分布式配置文件")提供了针对目录改变配置的方法,
即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,
以作用于此目录及其所有子目录。
说明:如果需要使用.htaccess
以外的其他文件名,可以用AccessFileName
指令来改变。
例如,需要使用.config
,则可以在服务器配置文件中按以下方法配置:
AccessFileName .config
允许放在这些文件中的指令取决于AllowOverride
指令,
此指令按类别决定了.htaccess
文件中哪些指令才是有效的。
如果一个指令允许放在.htaccess
文件中,则,在本手册的说明中,此指令会有一个覆盖段,
其中说明了为使此指令生效而必须在AllowOverride
指令中设置的值。
例如,本手册对AddDefaultCharset
指令的说明表明了,
此指令可以用于.htaccess
文件(见 Context一行),而Override一行是"FileInfo
",
那么为使.htaccess
中的此指令有效,则至少要设置"AllowOverride FileInfo
"。
如果不能确定一个特定的指令是否允许用于.htaccess
文件,
可以查阅手册中对指令的说明,看在Context(“上下文”)行中是否有".htaccess."。
一般情况下,不应该使用.htaccess
文件,除非你对主服务器配置文件没有存取权限。
有一种很常见的误解,认为用户认证只能通过.htaccess
文件实现,但并不是这样,
把用户认证写在主服务器配置中是完全可行的,而且是一种很好的方法。
在内容提供者需要针对目录改变服务器的配置而对服务器系统没有root权限时,
则应该使用.htaccess
文件。如果服务器管理员不愿意频繁修改配置,
则可以允许用户通过.htaccess
文件自己修改配置,尤其是ISP在一个机器上
宿主多个用户站点,而又希望用户可以自己改变配置的情况下。
虽然如此,一般都应该尽可能地避免使用.htaccess
文件。
任何希望放在.htaccess
文件中的配置,都可以放在主服务器的<Directory>
段中,而且更高效。
避免使用.htaccess
文件有两个主要原因。
首先是性能。
如果AllowOverride
允许使用.htaccess
文件,
则,Apache需要在每个目录中查找.htaccess
文件,因此,无论是否真正用到,
允许使用.htaccess
文件都会导致性能的下降。
另外,每次请求一个页面时,都需要读取.htaccess
文件。
还有,Apache必须在所有更高级的目录中查找.htaccess
文件,
使所有有效的指令都起作用(参见how directives are applied.),所以,
如果有对/www/htdocs/example
中页面的请求,Apache必须查找以下文件:
/.htaccess
/www/.htaccess
/www/htdocs/.htaccess
/www/htdocs/example/.htaccess
而且,对此目录以外的每个文件访问,还有4个附加的文件系统访问,即使这些文件都不存在。
(注意,这可能仅仅发生在 / 允许使用.htaccess
文件的情况下,虽然这种情况并不多。)
其次是安全。
如此,会允许用户修改服务器的配置,可能会导致未加限制的修改,请认真考虑是否给予用户这样的特权。
但是,如果给予用户较少的特权而不能满足其需要,则会带来额外的技术支持请求,
所以,必须明确地告诉用户已经给予他们的权限,说明AllowOverride
设置的值,
并引导他们参阅相应的说明,以免日后许多麻烦。
注意,在/www/htdocs/example
目录下.htaccess文件中放置指令,与,
在主服务器配置文件中<Directory /www/htdocs/example>
段中放置相同指令,
是等效的。:
/www/htdocs/example
中的.htaccess
:
/www/htdocs/example
中.htaccess文件的内容
AddType text/example .exm
httpd.conf
文件中的段
<Directory /www/htdocs/example>
AddType text/example .exm
</Directory>
但是,把这个配置放置在服务器配置文件中则更加高效,因为只需要在Apache启动时读取一次, 而不是在有文件请求时每次都读取。
将AllowOverride
设置为"none"可以完全禁止使用.htaccess
文件。
AllowOverride None
.htaccess
文件中的配置指令作用于.htaccess
文件所在的目录及其所有子目录,
但是,很重要需要记住的是,其更高级的目录也可能会有.htaccess
文件,
而指令是按查找顺序依次生效,所以,
一个特定目录下的.htaccess
文件中的指令可能会覆盖其更高级目录中的
.htaccess
文件的指令,即,
子目录中的指令会覆盖更高级目录或者主服务器配置文件中的指令。
例如:
目录/www/htdocs/example1
中的.htaccess
文件有如下内容:
Options +ExecCGI
(注意: 必须设置"AllowOverride Options
"以允许在.htaccess
文件中使用
"Options
"指令。)
在目录/www/htdocs/example1/example2
中的.htaccess
文件有如下内容:
Options Includes
由于第二个.htaccess
文件的存在,/www/htdocs/example1/example2
中
的CGI执行是不允许的,而只允许Options Includes
,它完全覆盖了之前的设置。
如果你为了知道如何认证,直接从这里开始看,有很重要的一点需要注意,有一种常见的误解,
认为实现密码认证必须要使用.htaccess
文件,其实不是这样。
把认证指令放在主服务器配置文件的<Directory>
段中,是一个更好的方法,
而.htaccess
文件应该仅仅用于无权访问主服务器配置文件的时候。
参见上述的使用.htaccess
文件的场合。
有此声明在先,如果你仍然需要使用.htaccess
文件,请看以下说明。
必须设置"AllowOverride AuthConfig
"以允许这些指令生效
.htaccess
文件的内容:
AuthType Basic
AuthName "Password Required"
AuthUserFile /www/passwords/password.file
AuthGroupFile /www/passwords/group.file
Require Group admins
注意,必须设置AllowOverride AuthConfig
以允许这些指令生效
更详细的有关身份识别和认证的说明,请参见authentication tutorial。
.htaccess
文件的另一个常见用途是允许一个特定目录的服务器端包含(Server Side Includes),
可以在需要的目录中放置.htaccess
文件,并如下配置:
Options +Includes
AddType text/html shtml
AddHandler server-parsed shtml
注意,必须同时设置AllowOverride Options
和
AllowOverride FileInfo
使这些指令生效。
更详细的有关服务器端包含的说明,请参见SSI tutorial。
最后,可以通过.htaccess
文件允许在特定目录中执行CGI程序,需按如下配置:
Options +ExecCGI
AddHandler cgi-script cgi pl
另外,如下,可以使给定目录下所有文件被视为CGI程序:
Options +ExecCGI
SetHandler cgi-script
注意,必须设置AllowOverride Options
使这些指令生效。
更详细的有关CGI编程和配置的说明,请参见CGI tutorial。
如果在.htaccess
文件中写入了配置指令但不起作用,可能有多种原因。
最常见的原因是,AllowOverride
指令没有被正确设置,
必须确保没有对此文件区域设置AllowOverride None
。有一个很好的测试方法,即,
在.htaccess
文件随便增加点没用的内容,如果服务器没有返回了一个错误消息,
那么几乎可以断定设置了AllowOverride None
。
在访问文档时,如果收到服务器的出错消息,应该检查Apache的出错日志,
可以知道.htaccess
文件中哪些指令是不允许使用的,也可能会发现需要纠正的语法错误。