是否有任何方法可以限制在指定时间内尝试访问受 .htaccess 文件保护的目录的次数?
例如。如果用户的详细信息错误 10 次,我可以让他们等待一个小时吗?
是否有其他方法可以减少对 .htaccess 安全目录的字典攻击
最佳答案
由于 HTTP 身份验证的工作方式,使用 apache 无法执行此操作,重试次数由浏览器确定。我知道人们所做的一件事是编写一个日志文件解析器来解析 apache 日志,以按 IP 和请求跟踪 401 响应(请记住,第一个 401 是提示登录对话框的请求)当一个请求来自一个 IP 的 401 数量过多时,请执行某些操作。解析器可以做的事情之一是使用 iptables(或类似的东西)在一段时间内阻止有问题的 IP,或者修改可以与 RewriteMap 结合使用的映射文件。将客户端重定向到“您失败了太多次”页面。我唯一能想到的另一件事是编写一个自定义身份验证模块,但编写一个日志解析器似乎更容易。
关于security - 限制使用 .htaccess 文件的安全目录的重试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8947238/