Исследование синтаксиса.htaccess

Question

Исследование синтаксиса.htaccess

В моем файле template.htaccess я копировал и вставлял множество правил и исследовал.htaccess около 2 недель, пытаясь попытаться лучше понять синтаксис, различные модули и директивы с помощью MDN, stack-exchange и google. в следующем примере;

    <IfModule mod_rewrite.c>
        Options +FollowSymLinks
         RewriteEngine On
         RewriteCond %{HTTP_ACCEPT} image/webp
         RewriteCond %{DOCUMENT_ROOT}/$1.webp -f
         RewriteRule (.+)\.(jpe?g|png)$ $1.webp [T=image/webp,E=accept:1]
    </IfModule>

Существует ли HTTPS-версия HTTP_ACCEPT image/webp? Или Директива "Обновить Небезопасные Запросы" Уже Поймает это? Это не единственный пример, с которым я столкнулся существует много жестко закодированных имен HTTP, и мне интересно, все ли они небезопасны или будут обновляться со временем.

1

security openssl https mod-security htaccess

Author: Ryan Stone, 2019-07-14

Source

1 answers

score 2 · Accepted Answer

Я думаю, что ваш вопрос может быть вызван некоторым непониманием того, что такое переменная сервера Apache HTTP_ACCEPT... (?)

Существует ли HTTPS-версия HTTP_ACCEPT image/webp?

Нет. Это одна и та же переменная, один и тот же заголовок. Переменная сервера HTTP_ACCEPT Apache содержит значение заголовка HTTP-запроса Accept, отправленного из браузера. Это относится как к HTTP, так и к HTTPS - это "один и тот же" протокол, одни и те же заголовки и т.д. HTTPS - это просто HTTP + SSL/TLS.

Если вы делаете запрос по протоколу HTTPS, вам все равно нужно проверить тот же заголовок HTTP-запроса Accept.

Все переменные сервера, которые называются HTTP_<SOMETHING>, относятся к соответствующему заголовку запроса HTTP(S).

Или Директива "Обновить Небезопасные Запросы" Уже Поймает это?

Предполагая, что вы ссылаетесь на директиву Политики безопасности контента, тогда вид , в котором совместимый агенты пользователей автоматически запросят ресурсы по протоколу HTTPS, а не HTTP, но я не уверен, что вы подразумеваете под "поймать это"? CSP не является заменой перенаправления HTTP на HTTPS.

Мне интересно, все ли они небезопасны или будут обновляться со временем.

Здесь нечего обновлять. Независимо от того, является ли соединение безопасным или нет, оно в основном прозрачно, особенности которого уже произошли к моменту обработки ваших директив в .htaccess.