如何使用 .htaccess 授予对某些文件的权限

Question

在我正在开发的 wordpress 网站中，我的数字产品存储在 uploads 文件夹中。我发现当您知道 url 时，该文件夹是可以公开访问的。 因此，当我输入http://my-site.com/wp-content/uploads 时，我会得到一个目录列表，其中包含所有公开的文件，易于下载。这当然不是我想要的。我在网上找到了一个使用这个 .htaccess 代码的解决方案：

IndexIgnore *
Options +FollowSymlinks
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(www\.)?my-site\.com/ [NC]
RewriteCond %{REQUEST_URI} !hotlink\.(gif|png|jpg|doc|xls|pdf|html|htm|xlsx|docx) [NC]
RewriteRule .*\.(gif|png|jpg|doc|xls|pdf|html|htm|xlsx|docx)$ http://my-site.com

这很好，每个输入 url 的人都会被重定向到主页。 购买商品的下载进展顺利，因为请求来自站点内部。但是有一个徽标文件（在 WooCommerce 电子邮件中使用）必须是可访问的。现在，电子邮件中没有显示徽标，因为系统认为这不是来自站点内的请求，因此访问被拒绝。我可以使用上述代码的更新版本授予对该文件的访问权限吗？如果可以，我必须进行哪些更改？请指教。

你很快就会收到 HTH。

Answer 1

首先，您可以使用Options -Indexes 禁用.htaccess 中的目录列表。更多信息请参考https://wiki.apache.org/httpd/DirectoryListings

然后，使用标头 Referer 作为安全措施可能很危险，因为它很容易更改。

您应该考虑用一个脚本替换这部分，该脚本管理一种访问列表以允许或拒绝对原始文件的访问（例如 Amazon S3 上的临时密钥）。