.htaccess Schutz für erzeugten (contao)Link

**wiese** · 10.12.2012, 17:14

Code:

  AuthType Basic
  AuthName "Geheimer Bereich"
  AuthUserFile /var/www/virtual/uberspace_user/htuser
  
  <FilesMatch "^([a-z]{2}/testseite|([a-z]{2})/testseite|testseite*).*$">
    Require valid-user
  </FilesMatch>

ich würde gerne einen contao erzeugten link sperren. In diesem Fall meineseite.url/de/testseite.html Sofern ich ohne länderspezifische Kürzel arbeite klappt das auch sehr gut, aber sobald das /de oder /en mit dabei ist nicht mehr...

Jemand eine Idee?

**MartinG** · 11.12.2012, 07:27

Moin wiese,

Die Apache-Direktive FilesMatch wirkt nur auf Dateien, die tatsächlich im Dateisystem (auf dem Webserver) vorhanden sind.
Da das bei Contao normalerweise nicht der Fall ist (die URLs werden ja auf die index.php umgeschrieben, welche dann anhand der URL die gewünschte Seite aus der Seitenstruktur heraussucht und ausliefert), probier einmal, stattdessen die Direktive LocationMatch zu benutzen.

Im regulären Ausdruck ist mir aufgefallen, dass der erste und zweite Block in der Klammer sich nur durch die runden Klammern um das Länderkürzel unterscheiden - also eigentlich äquivalent sind. Und das Sternchen hinten bei testseite* bedeutet, dass das "E" beliebig oft vorhanden sein darf - hier würde sowohl "testseit", "testseite" als auch "testseiteeeeeee" zu einem Treffer führen. Absicht?

**wiese** · 11.12.2012, 07:40

Hey danke! Das letzte war erstmal nur zum Test

. Das FileMatch wohl nur für Dateien ist hab ich mir schon gedacht, aber es funktioniert (außer mit de/en..). Die Klammern hab ich mir aus der .htaccess von Contao abgeschaut, da ist es auch einmal mit () und ohne

<Location> bzw. <LocationMatch> gehen beide nicht

Ich hab mir einen Länderkürzel /vv/ (ich hoffe es gibt kein Land

) erstellt und diesen kann ich mit FilesMatch sperren. Nur /vv/irgendeineseite geht nicht. Also nur /vv/ oder nix

**MartinG** · 11.12.2012, 12:36

Ja, das liegt daran, dass FilesMatch nur auf Dateien, aber nicht auf Dateien in anderen Ordnern angewendet wird. Und ein Länderkürzel wie /vv/ in der URL sieht für den Webserver aus wie ein Ordner.

Mein Vorschlag mit LocationMatch war leider falsch, da man LocationMatch gar nicht innerhalb einer .htaccess verwenden kann - sorry.
Falls du Zugriff auf die Konfigurationsdatei für deinen Webserver hast, könntest du dort stattdessen das LocationMatch einbauen.

Wie wäre es sonst alternativ mit dem Berechtigungssystem, das Contao mitbringt? Also dass du dort einen Benutzer oder eine Gruppe anlegst und dann die Testseite nur für diese freigibst?

**wiese** · 11.12.2012, 17:21

Ja, das ist auch eine Idee - aber dann benötige ich wieder einen neuen FE Benutzer und die Module für Login/Logout - ich dachte nur es würde über die Datei .htaccess eventuell schneller gehen, da die Daten die geschützt werden sollen nicht besonders brisant sind - sondern von den entsprechenden Personen nur gelesen werden ob das für Sie so ok ist. (Keine Contao Redakteure, Fremdfirmen)

**MartinG** · 12.12.2012, 10:20

Hm, eine andere Idee habe ich dann auch nicht, wenn du (s.o.) das LocationMatch nicht in die Konfigurationsdatei deines Webservers eintragen kannst.