Apache 2.4 似乎混合了所有:IP 拒绝和用户拒绝不再独立工作。
在旧版本中,我能够启用这两件事,并在不影响另一件事的情况下使用它,例如:
deny from all
allow from ip1
allow from ip2
在 apache2.4 中相当于:
require ip1
require ip2
到此为止,一切都很好。
但是,当您的网站中有 htacess+htpasswd 时,行为并不像您预期的那样,因为它认为所需的 ips 可以在没有密码的情况下输入,从而.htaccess使所需列表中的 ips 甚至最坏的 ips 能够.htaccess由于尝试使用密码登录,这不是 Apache 2.2 所做的!
在古老的 Apache 中,允许来自的主机是唯一可以尝试进行身份验证的主机......即使它们被允许,它仍然需要密码.htaccess才能打开网站。
我现在可以使用 mod_acess_compat 解决该行为......但我认为这不是一个解决方案,因为我在 Apache 2.4 上使用古老的命令......而且我担心一些意想不到的行为或弃用这个模块...
听起来你想要的是这样的: