Fwolf’s Blog

Apache的Order Allow Deny心得

授权方式：署名，非商业用途，保持一致，转载时请务必以超链接(http://www.fwolf.com/blog/post/191)的形式标明文章原始出处和作者信息及本声明。

今天又被这两个参数小小的耍了一把，痛下决心整理一下，免得再被耽误时间。

Allow和Deny可以用于apache的conf文件或者.htaccess文件中（配合Directory, Location, Files等），用来控制目录和文件的访问授权。

所以，最常用的是：
Order Deny,Allow
Allow from All

注意“Deny,Allow”中间只有一个逗号，也只能有一个逗号，有空格都会出错；单词的大小写不限。上面设定的含义是先设定“先检查禁止设定，没有禁止的全部允许”，而第二句没有Deny，也就是没有禁止访问的设定，直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置，开放所有内容的访问权。

按照上面的解释，下面的设定是无条件禁止访问：
Order Allow,Deny
Deny from All

如果要禁止部分内容的访问，其他的全部开放：
Order Deny,Allow
Deny from ip1 ip2
或者
Order Allow,Deny
Allow from all
Deny from ip1 ip2

apache会按照order决定最后使用哪一条规则，比如上面的第二种方式，虽然第二句allow允许了访问，但由于在order中allow不是最后规则，因此还需要看有没有deny规则，于是到了第三句，符合ip1和ip2的访问就被禁止了。注意，order决定的“最后”规则非常重要，下面是两个错误的例子和改正方式：

Order Deny,Allow
Allow from all
Deny from domain.org
错误：想禁止来自domain.org的访问，但是deny不是最后规则，apache在处理到第二句allow的时候就已经匹配成功，根本就不会去看第三句。
解决方法：Order Allow,Deny，后面两句不动，即可。

Order Allow,Deny
Allow from ip1
Deny from all
错误：想只允许来自ip1的访问，但是，虽然第二句中设定了allow规则，由于order中deny在后，所以会以第三句deny为准，而第三句的范围中又明显包含了ip1（all include ip1），所以所有的访问都被禁止了。
解决方法一：直接去掉第三句。
解决方法二：
Order Deny,Allow
Deny from all
Allow from ip1

Close this WindowBookmark and Share This Page

Save to Browser Favorites

Ask backflip blinklist BlogBookmark Bloglines BlogMarks Blogsvine BUMPzee! CiteULike co.mments Connotea del.icio.us

DotNetKicks Digg diigo dropjack.com dzone Facebook Fark Faves Feed Me Links Friendsite folkd.com Furl

Google Hugg Jeqq Kaboodle linkaGoGo LinksMarker Ma.gnolia Mister Wong Mixx MySpace MyWeb Netvouz

Newsvine PlugIM popcurrent Propeller Reddit Rojo Segnalo Shoutwire Simpy sk*rt Slashdot Sphere

Sphinn Spurl.net Squidoo StumbleUpon Technorati ThisNext Webride Windows Live Yahoo!

Email This to a Friend

Copy HTML: 

If you like this then please subscribe to the RSS feed.

Powered by Bookmarkify™

More »

No tags for this post.

Related posts

• No related posts.

This entry was posted on Monday, June 26th, 2006 at 0:11:00 and is filed under Apache. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

3 Responses to “Apache的Order Allow Deny心得”

1. 爱城市地带-模仿秀 » Apache的Order Allow Deny心得 Says:
   January 17th, 2007 at 21:00:39

   [...] Apache 的Order Allow Deny心得 授权方式：署名，非商业用途，保持一致，转载时请务必以超链接(http://www.fwolf.com/blog/post/191)的形式标明文章原始出处和作者信息及本声明。 今天又被这两个参数小小的耍了一把，痛下决心整理一下，免得再被耽误时间。 Allow和Deny可以用于apache的conf文件或者.htaccess文件中（配合Directory, Location, Files等），用来控制目录和文件的访问授权。 所以，最常用的是： Order Deny,Allow Allow from All 注意“Deny,Allow”中间只有一个逗号，也只能有一个逗号，有空格都会出错；单词的大小写不限。上面设定的含义是先设定“先检查禁止设定， 没有禁止的全部允许”，而第二句没有Deny，也就是没有禁止访问的设定，直接就是允许所有访问了。这个主要是用来确保或者覆盖上级目录的设置，开放所有 内容的访问权。 按照上面的解释，下面的设定是无条件禁止访问： Order Allow,Deny Deny from All 如果要禁止部分内容的访问，其他的全部开放： Order Deny,Allow Deny from ip1 ip2 或者 Order Allow,Deny Allow from all Deny from ip1 ip2 apache会按照order决定最后使用哪一条规则，比如上面的第二种方式，虽然第二句allow允许了访问，但由于在order中allow不 是最后规则，因此还需要看有没有deny规则，于是到了第三句，符合ip1和ip2的访问就被禁止了。注意，order决定的“最后”规则非常重要，下面 是两个错误的例子和改正方式： Order Deny,Allow Allow from all Deny from domain.org 错误：想禁止来自domain.org的访问，但是deny不是最后规则，apache在处理到第二句allow的时候就已经匹配成功，根本就不会去看第三句。 解决方法：Order Allow,Deny，后面两句不动，即可。 Order Allow,Deny Allow from ip1 Deny from all 错误：想只允许来自ip1的访问，但是，虽然第二句中设定了allow规则，由于order中deny在后，所以会以第三句deny为准，而第三句的范围中又明显包含了ip1（all include ip1），所以所有的访问都被禁止了。 解决方法一：直接去掉第三句。 解决方法二： Order Deny,Allow Deny from all Allow from ip1 [...]

2. alan Says:
   June 28th, 2007 at 21:46:51

   谢谢,写的很细致,还把可能出现的错误都描述了,非常感谢!

   [Reply]

3. littlebat Says:
   October 7th, 2007 at 15:03:22

   不错，收藏了。

   [Reply]

Leave a Reply