Schlagwort-Archiv: Apache

htaccess LIMIT

Leider habe ich schon öfters gesehen, dass ein Verzeichnisschutz in einer Apache .htaccess-Datei etwa so aussah:

AuthUserFile /path/to/htpasswd
AuthName "intern"
AuthType Basic
<Limit GET>
require valid-user
</Limit>

Das sollte man unbedingt NICHT so machen, sondern in das LIMIT nicht nur GET, sondern auch POST mit aufnehmen.
Korrekt ist also:

AuthUserFile /path/to/htpasswd
AuthName "intern"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>

Der Grund dafür ist einfach, auch mit POST kann man nämlich die Daten vom Server abrufen. Um das zu demonstrieren reicht ein einfaches curl -d irgendwelchedaten <url>. Im ersten Fall würde die Seite damit komplett angezeigt, im zweiten würde man den gewünschten Fehlercode bekommen.

Eine nette Seite mit vielen Beispielen zum Thema habe ich hier gefunden: http://home.golden.net/htaccess.html