Discussion :

[Lcf.vs]

Bonjour à tous,

Je viens de mettre en ligne une combinaison de 2 .htaccess servant à gérer aisément un dossier de site web (pouvoir le renommer, le déplacer et avoir des ErrorDocuments relatifs), sans la moindre configuration d'Apache (à la seule condition d'avoir les mods Rewrite & SetEnvIf activés).

Plus besoin de vhosts supplémentaires, ni de jouer sur un alias, ni écrire dans vos .htaccess le chemin de votre dossier, en dur.

Au passage, il empêche le listing des dossiers et gère les droits d'accès.

Voilà, j'aimerais avoir vos avis d'experts, à ce sujet, merci beaucoup.

https://github.com/Lcfvs/DynHtaccess

[Lcf.vs]

Bonsoir,

Pour ceux qui voudraient en comprendre la technique, voici qui peut vous éclairer un peu... veuillez m'excuser pour la pavé...


Le premier htaccess ne sert que si on doit gérer des sous-dossiers.

Ses premières lignes servent on compter le nombre de redirections, ce qui permettra de savoir quel comportement adopter, et empêcher, par exemple qu'on puisse appeler directement un ErrorDocument (dans le 2ème htaccess).

Ensuite, on récupère ce qui est censé être le nom du dossier correspondant au domaine.

Après, on sauvegarde la Request_URI demandé par l'utilisateur, parce que dès qu'on va faire une redirection, la Request_URI va changer, or, on voudrait bien pouvoir l'analyser plus tard (dans le 2ème htaccess).

Enfin, pour chaque redirection impaire (puisqu'une redirection sur deux comportera l'url du dossier), on renvoie vers le dossier en question, s'il existe, sinon, on laisse courir (afin de préserver l'environnement du reste du DocumentRoot.


Le 2ème htaccess, sert dans tous les cas, soit dans un sous-dossier, soit à la base du DocumentRoot.

Ses premières lignes servent on compter le nombre de redirections, ce qui permettra de savoir quel comportement adopter, et empêcher, par exemple qu'on puisse appeler directement un ErrorDocument.

Après, on sauvegarde la Request_URI demandé par l'utilisateur, parce que dès qu'on va faire une redirection, la Request_URI va changer, or, on voudrait bien pouvoir l'analyser plus tard (dans le 2ème htaccess).

On sauvegarde le REDIRECT_STATUS, s'il n'existe pas, on l'initialise à 200.

On définit les routes.

On interdit l'accès au dossier système.

En cas de 404 ou de fichier inexistant (ou si le fichier demandé est un dossier), on redirige vers l'ErrorDocument 404, à condition que ce soit la première fois qu'on passe dans ce 2ème htaccess et 2 fois dans le premier s'il existe (logique, puisque quand il ajouter le dossier à l'url interne, il repasse sur lui-même).

Si cette condition n'est pas respectée (c'est donc la 2ème fois qu'on passe dans le 2ème htaccess, ben, oui, la redirection de l'ErrorDocument), si le status est différent de 200, on redirige, à condition que ce soit la 2ème fois qu'on passe dans ce 2ème htaccess et 4 fois dans le premier, s'il existe.

Enfin, si c'est aucun des deux cas précédent et que le status est à 200, on redirige vers le vrai fichier appelé (/public, par exemple, ou /system/index.php).

Comme vous pouvez remarquer, on peut pas lister un dossier, bien qu'il n'y ait pas de Options -Indexes... ça permet de pouvoir retourner un 404 plutôt qu'un 403, c'est plus opaque pour un éventuel attaquant.


Voilà, s'il y a encore un truc que vous ne comprenez pas, n'hésitez pas à demander.