问题描述
我设法使用下面的 .htaccess 指令限制对我网站的访问。它工作得很好,但我发现除了推荐人成功访问 https://example.com/**pages**/ 等直接页面,然后从那里可以返回首页。我如何才能限制到除引荐来源之外的所有站点(所以我的根 URL 中的所有树)。
# Serve everyone from specific-domain (and internal requests)
RewriteCond %{HTTP_REFERER} ^https?://www\.your-domain\.com/ [OR]
RewriteCond %{HTTP_REFERER} ^https?://www\.specific-domain\.com/
RewriteRule ^ - [L]
# everybody else receives a forbidden
RewriteRule ^ - [F]
解决方法
从关于您的 other question 的讨论来看,您似乎将这些指令放在了错误的位置。它是一个 WordPress 站点,指令已经放在 WordPress 前端控制器之后,即。在 # BEGIN WordPress ... # END WordPress 代码块之后。
这其实是一个很常见的错误。但顺序很重要。
通过将它们放置在文件的末尾,它们将永远不会被处理到 example.com/<wordpress-url> 的请求,因为该请求已经被路由到 WordPress 前端控制器 (index.php)。
这些阻塞指令需要放在 .htaccess 文件的顶部。重要的是,它们必须在# BEGIN WordPress 部分之前。
您不应将这些指令放在 WordPress 代码块中,因为 WordPress 维护此部分,并且可能会覆盖您放置在此处的任何自定义指令。
您不需要重复 RewriteEngine On 指令(它出现在文件的后面 - 该指令的顺序无关紧要)。事实上,如果有多个 RewriteEngine 指令,则 last 指令会胜出并控制整个文件/上下文。
更新#1:
有没有办法从指令中排除单个页面,以便即使来自非引用者也可以访问该页面 - 这将是一个登录页面
是的,您可以向检查此 URL 的第一个块添加附加条件。例如:
# Serve everyone from specific-domain (and internal requests)
RewriteCond %{REQUEST_URI] ^/login$ [OR]
RewriteCond %{HTTP_REFERER} ^https?://www\.your-domain\.com/ [OR]
RewriteCond %{HTTP_REFERER} ^https?://www\.specific-domain\.com/
RewriteRule ^ - [L]
# Everybody else receives a forbidden
RewriteRule ^ - [F]
更新#2:
但是,由于这是一个 WordPress 站点,您仍需要处理以继续处理前端控制器(文件后面的 # BEGIN WordPress 部分)以路由 URL。这可以解释为什么您会看到 /<page> 和其他 WordPress 网址的 404,尽管 Referer 可能设置正确。
要解决此问题,请将第一个 [L] 中的 RewriteRule 标志更改为 [S=1](跳过 1 规则),而不是停止进一步处理({{1} } / L 标志),它只是跳过以下阻止其他人访问的规则。然后继续使用 WordPress 前端控制器。
例如:
last或者,您可以颠倒逻辑...
:
RewriteRule ^ - [S=1]
# Everybody else receives a forbidden
RewriteRule ^ - [F]