htaccess 限制对所有页面的访问，但引用者

如何解决htaccess 限制对所有页面的访问，但引用者

我设法使用下面的 .htaccess 指令限制对我网站的访问。它工作得很好，但我发现除了推荐人成功访问 https://example.com/**pages**/ 等直接页面，然后从那里可以返回首页。我如何才能限制到除引荐来源之外的所有站点（所以我的根 URL 中的所有树）。

# Serve everyone from specific-domain (and internal requests)
RewriteCond %{HTTP_REFERER} ^https?://www\.your-domain\.com/ [OR] 
RewriteCond %{HTTP_REFERER} ^https?://www\.specific-domain\.com/
RewriteRule ^ - [L]

# everybody else receives a forbidden 
RewriteRule ^ - [F]

解决方法

从关于您的 other question 的讨论来看，您似乎将这些指令放在了错误的位置。它是一个 WordPress 站点，指令已经放在 WordPress 前端控制器之后，即。在 # BEGIN WordPress ... # END WordPress 代码块之后。

这其实是一个很常见的错误。但顺序很重要。

通过将它们放置在文件的末尾，它们将永远不会被处理到 example.com/<wordpress-url> 的请求，因为该请求已经被路由到 WordPress 前端控制器 (index.php)。

这些阻塞指令需要放在 .htaccess 文件的顶部。重要的是，它们必须在# BEGIN WordPress 部分之前。

您不应将这些指令放在 WordPress 代码块中，因为 WordPress 维护此部分，并且可能会覆盖您放置在此处的任何自定义指令。

您不需要重复 RewriteEngine On 指令（它出现在文件的后面 - 该指令的顺序无关紧要）。事实上，如果有多个 RewriteEngine 指令，则 last 指令会胜出并控制整个文件/上下文。

更新#1：

有没有办法从指令中排除单个页面，以便即使来自非引用者也可以访问该页面 - 这将是一个登录页面

是的，您可以向检查此 URL 的第一个块添加附加条件。例如：

# Serve everyone from specific-domain (and internal requests)
RewriteCond %{REQUEST_URI] ^/login$ [OR]
RewriteCond %{HTTP_REFERER} ^https?://www\.your-domain\.com/ [OR] 
RewriteCond %{HTTP_REFERER} ^https?://www\.specific-domain\.com/
RewriteRule ^ - [L]

# Everybody else receives a forbidden 
RewriteRule ^ - [F]

更新#2：

但是，由于这是一个 WordPress 站点，您仍需要处理以继续处理前端控制器（文件后面的 # BEGIN WordPress 部分）以路由 URL。这可以解释为什么您会看到 /<page> 和其他 WordPress 网址的 404，尽管 Referer 可能设置正确。

要解决此问题，请将第一个 [L] 中的 RewriteRule 标志更改为 [S=1]（跳过 1 规则），而不是停止进一步处理（{{1} } / L 标志），它只是跳过以下阻止其他人访问的规则。然后继续使用 WordPress 前端控制器。

例如：

last

或者，您可以颠倒逻辑...

:
RewriteRule ^ - [S=1]

# Everybody else receives a forbidden 
RewriteRule ^ - [F]