Fonctionalités de Base Apache

Directive AcceptFilter

Cette directive permet d'effectuer une optimisation de la socket d'écoute d'un type de protocole en fonction du système d'exploitation. Le but premier est de faire en sorte que le noyau n'envoie pas de socket au processus du serveur jusqu'à ce que des données soient reçues, ou qu'une requête HTTP complète soit mise en tampon. Seuls les Filtres d'acceptation de FreeBSD, le filtre plus primitif TCP_DEFER_ACCEPT sous Linux, et la version optimisée d'AcceptEx() de Windows sont actuellement supportés.

L'utilisation de l'argument none va désactiver tout filtre d'acceptation pour ce protocole. Ceci s'avère utile pour les protocoles qui nécessitent l'envoi de données par le serveur en premier, comme ftp: ou nntp:

AcceptFilter nntp none

Les noms de protocoles par défaut sont https pour le port 443 et http pour tous les autres ports. Pour spécifier un autre protocole à utiliser avec un port en écoute, ajoutez l'argument protocol à la directive Listen.

Sous FreeBSD, les valeurs par défaut sont :

AcceptFilter http httpready
AcceptFilter https dataready

Le filtre d'acceptation httpready met en tampon des requêtes HTTP entières au niveau du noyau. Quand une requête entière a été reçue, le noyau l'envoie au serveur. Voir la page de manuel de accf_http(9) pour plus de détails. Comme les requêtes HTTPS sont chiffrées, celles-ci n'autorisent que le filtre accf_data(9).

Sous Linux, les valeurs par défaut sont :

AcceptFilter http data
AcceptFilter https data

Le filtre TCP_DEFER_ACCEPT de Linux ne supporte pas la mise en tampon des requêtes http. Toute valeur autre que none active le filtre TCP_DEFER_ACCEPT pour ce protocole. Pour plus de détails, voir la page de manuel Linux de tcp(7).

Sous Windows, les valeurs par défaut sont :

AcceptFilter http connect
AcceptFilter https connect

Le module MPM pour Windows mpm_winnt utilise la directive AcceptFilter comme commutateur de l'API AcceptEx(), et ne supporte pas la mise en tampon du protocole http. connect utilise l'API AcceptEx(), extrait aussi les adresses réseau finales, mais à l'instar de none, la valeur connect n'attend pas la transmission des données initiales.

Sous Windows, none utilise accept() au lieu d'AcceptEx(), et ne recycle pas les sockets entre les connexions. Ceci s'avère utile pour les interfaces réseau dont le pilote est défectueux, ainsi que pour certains fournisseurs de réseau comme les pilotes vpn, ou les filtres anti-spam, anti-virus ou anti-spyware.

Voir aussi

• Protocol

Directive AcceptPathInfo

Cette directive permet de définir si les requêtes contenant des informations sous forme d'un nom de chemin suivant le nom d'un fichier réel (ou un fichier qui n'existe pas dans un répertoire qui existe) doivent être acceptées ou rejetées. Les scripts peuvent accéder à cette information via la variable d'environnement PATH_INFO.

Supposons par exemple que /test/ pointe vers un répertoire qui ne contient que le fichier here.html. Les requêtes pour /test/here.html/more et /test/nothere.html/more vont affecter la valeur /more à la variable d'environnement PATH_INFO.

L'argument de la directive AcceptPathInfo possède trois valeurs possibles :

Off

Une requête ne sera acceptée que si elle correspond à un chemin qui existe. Par conséquent, une requête contenant une information de chemin après le nom de fichier réel comme /test/here.html/more dans l'exemple ci-dessus renverra une erreur "404 NOT FOUND".

On

Une requête sera acceptée si la partie principale du chemin correspond à un fichier existant. Dans l'exemple ci-dessus /test/here.html/more, la requête sera acceptée si /test/here.html correspond à un nom de fichier valide.

Default

Le traitement des requêtes est déterminé par le gestionnaire responsable de la requête. Le gestionnaire de base pour les fichiers normaux rejette par défaut les requêtes avec PATH_INFO. Les gestionnaires qui servent des scripts, commecgi-script et isapi-handler, acceptent en général par défaut les requêtes avec PATH_INFO.

Le but premier de la directive AcceptPathInfo est de vous permettre de remplacer le choix du gestionnaire d'accepter ou de rejeter PATH_INFO. Ce remplacement est nécessaire par exemple, lorsque vous utilisez un filtre, comme INCLUDES, pour générer un contenu basé sur PATH_INFO. Le gestionnaire de base va en général rejeter la requête, et vous pouvez utiliser la configuration suivante pour utiliser un tel script :

<Files "mypaths.shtml">
  Options +Includes
  SetOutputFilter INCLUDES
  AcceptPathInfo On
</Files>

Directive AccessFileName

Au cours du traitement d'une requête, le serveur recherche le premier fichier de configuration existant à partir de la liste de noms dans chaque répertoire composant le chemin du document, à partir du moment où les fichiers de configuration distribués sont activés pour ce répertoire. Par exemple :

AccessFileName .acl

avant de renvoyer le document /usr/local/web/index.html, le serveur va rechercher les fichiers /.acl, /usr/.acl, /usr/local/.acl et /usr/local/web/.acl pour y lire d'éventuelles directives, à moins quelles n'aient été désactivées avec

<Directory "/">
    AllowOverride None
</Directory>

Voir aussi

• AllowOverride
• Fichiers de configuration
• Fichiers .htaccess

Directive AddDefaultCharset

Cette directive spécifie une valeur par défaut pour le paramètre jeu de caractères du type de média (le nom d'un codage de caractères) à ajouter à une réponse, si et seulement si le type de contenu de la réponse est soit text/plain, soit text/html. Ceci va remplacer tout jeu de caractères spécifié dans le corps de la réponse via un élément META, bien que cet effet dépende en fait souvent de la configuration du client de l'utilisateur. La définition de AddDefaultCharset Off désactive cette fonctionnalité. AddDefaultCharset On ajoute un jeu de caractères par défaut de iso-8859-1. Toute autre valeur peut être définie via le paramètre jeu de caractères, qui doit appartenir à la liste des valeurs de jeux de caractères enregistrés par l'IANA à utiliser dans les types de média Internet (types MIME). Par exemple :

AddDefaultCharset utf-8

La directive AddDefaultCharset ne doit être utilisée que lorsque toutes les ressources textes auxquelles elle s'applique possèdent le jeu de caractère spécifié, et qu'il est trop contraignant de définir leur jeu de caractères individuellement. Un exemple de ce type est l'ajout du paramètre jeu de caractères aux ressources comportant un contenu généré, comme les scripts CGI hérités qui peuvent être vulnérables à des attaques de type cross-site scripting à cause des données utilisateurs incluses dans leur sortie. Notez cependant qu'une meilleur solution consiste à corriger (ou supprimer) ces scripts, car la définition d'un jeu de caractères par défaut ne protège pas les utilisateurs qui ont activé la fonctionnalité "Détection automatique de l'encodage des caractères" dans leur navigateur.

Voir aussi

• AddCharset

Directive AllowEncodedSlashes

La directive AllowEncodedSlashes permet l'utilisation des URLs contenant des séparateurs de chemin encodés dans la partie chemin (%2F pour / et même %5C pour \ sur les systèmes concernés).

Avec la valeur par défaut, Off, de telles URLs sont refusées et provoquent le renvoi d'une erreur 404 (Not found).

Avec la valeur On, ces URLs sont acceptées, et les slashes encodés sont décodés comme tout autre caractère codé.

Avec la valeur NoDecode, ces URLs sont acceptées, mais les slashes codés ne sont pas décodés et laissés dans leur état codé.

Définir AllowEncodedSlashes à On est surtout utile en association avec PATH_INFO.

Voir aussi

• AcceptPathInfo

Directive AllowOverride

Lorsque le serveur trouve un fichier .htaccess (dont le nom est défini par la directive AccessFileName), il doit savoir lesquelles des directives placées dans ce fichier sont autorisées à modifier la configuration préexistante.

Lorsque cette directive et la directive AllowOverrideList sont définies à None, les fichiers .htaccess sont totalement ignorés. Dans ce cas, le serveur n'essaiera même pas de lire les fichiers .htaccess du système de fichiers.

Lorsque cette directive est définie à All, toute directive valable dans le Contexte .htaccess sera autorisée dans les fichiers .htaccess.

L'argument type directive peut contenir les groupements de directives suivants (voir ce document pour obtenir la liste à jour des directives activées pour chaque type de directive) :

AuthConfig

Permet l'utilisation des directives d'autorisation (AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, AuthType, AuthUserFile, Require, etc...).

FileInfo

Permet l'utilisation des directives qui contrôlent les types de documents (directives ErrorDocument, ForceType, LanguagePriority, SetHandler, SetInputFilter, SetOutputFilter, et directives du module mod_mime Add* et Remove*), des metadonnées des documents (Header, RequestHeader, SetEnvIf, SetEnvIfNoCase, BrowserMatch, CookieExpires, CookieDomain, CookieStyle, CookieTracking, CookieName), des directives du module mod_rewrite directives (RewriteEngine, RewriteOptions, RewriteBase, RewriteCond, RewriteRule), des directives du module mod_alias directives (Redirect, RedirectTemp, RedirectPermanent, RedirectMatch), et de la directive Action du module mod_actions.

Indexes

Permet l'utilisation des directives qui contrôlent l'indexation des répertoires (AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOptions, ReadmeName, etc...).

Limit

Permet l'utilisation des directives contrôlant l'accès au serveur (Allow, Deny et Order).

Nonfatal=[Override|Unknown|All]

Permet d'utiliser l'option AllowOverride pour rendre les erreurs de syntaxe non fatales dans les fichiers .htaccess : au lieu de causer une Internal Server Error, les directives non autorisées ou non reconnues seront ignorées et un avertissement enregistré dans le journal :

• Nonfatal=Override rend les directives interdite par AllowOverride non fatales.
• Nonfatal=Unknown rend les directives inconnues non fatales. Sont concernées les erreurs de frappe et les directives implémentées par un module non chargé.
• Nonfatal=All rend toutes les directives précédentes non fatales.

Notez qu'une erreur de syntaxe dans une directive valide causera toujours une internal server error.

Sécurité

Les erreurs non fatales peuvent être à l'origine de problèmes de sécurité pour les utilisateurs de fichiers .htaccess. Par exemple, si AllowOverride interdit AuthConfig, toute configuration utilisateur destinée à restreindre l'accès à un site ne sera pas prise en compte.

Options[=Option,...]

Permet l'utilisation des directives contrôlant les fonctionnalités spécifiques d'un répertoire (Options et XBitHack). "Options" doit être suivi d'un signe "égal", puis d'une liste d'options séparées par des virgules (pas d'espaces) ; ces options doivent être définies à l'aide de la commande Options.

Désactivation implicite des options

Bien que la liste des options disponibles dans les fichiers .htaccess puisse être limitée par cette directive, tant qu'un directive Options est autorisée, toute autre option héritée peut être désactivée en utilisant la syntaxe non-relative. En d'autres termes, ce mécanisme ne peut pas forcer une option spécifique à rester activée tout en permettant à toute autre option d'être activée.

AllowOverride Options=Indexes,MultiViews

Exemple :

AllowOverride AuthConfig Indexes

Dans l'exemple ci-dessus, toutes les directives qui ne font partie ni du groupe AuthConfig, ni du groupe Indexes, provoquent une erreur "internal server error".

Voir aussi

• AccessFileName
• AllowOverrideList
• Fichiers de configuration
• Fichiers .htaccess
• Override Class Index for .htaccess

Directive AllowOverrideList

Lorsque le serveur trouve un fichier .htaccess (comme spécifié par la directive AccessFileName), il doit savoir lesquelles des directives déclarées dans ce fichier peuvent remplacer des directives des fichiers de configuration du serveur.

Lorsque cette directive et la directive AllowOverride sont définies à None, les fichiers .htaccess sont totalement ignorés. Dans ce cas, le serveur ne cherchera même pas à lire des fichiers .htaccess dans le système de fichiers.

Example:

AllowOverride None
AllowOverrideList Redirect RedirectMatch

Dans l'exemple ci-dessus, seules les directives Redirect et RedirectMatch sont autorisées. Toutes les autres provoqueront une erreur interne du serveur.

Example:

AllowOverride AuthConfig
AllowOverrideList CookieTracking CookieName

Dans l'exemple ci-dessus, la directive AllowOverride autorise les directives du groupement AuthConfig, et AllowOverrideList n'autorise que deux directives du groupement FileInfo. Toutes les autres provoqueront une erreur interne du serveur.

Voir aussi

• AccessFileName
• AllowOverride
• Fichiers de configuration
• Fichiers .htaccess

Directive CGIMapExtension

Cette directive permet de contrôler la manière dont Apache httpd trouve l'interpréteur servant à exécuter les scripts CGI. Par exemple, avec la définition CGIMapExtension sys:\foo.nlm .foo, tous les fichiers scripts CGI possédant une extension .foo seront passés à l'interpréteur FOO.

Directive CGIPassAuth

La directive CGIPassAuth permet aux scripts d'accéder aux en-têtes d'autorisation HTTP tels que Authorization, en-tête nécessaire aux scripts qui implémente une authentification HTTP de base. Normalement, ces en-têtes HTTP sont invisibles pour les scripts car ils leurs permettraient de voir les identifiants et mots de passe utilisés pour accéder au serveur lorsque l'authentification HTTP de base est activée au niveau du serveur web. Cette directive doit être définie à "On" lorsque des scripts sont autorisés à implémenter une authentification HTTP de base.

Cette directive constitue une alternative à l'option de compilation SECURITY_HOLE_PASS_AUTHORIZATION qui était déjà disponible dans les versions précédentes du serveur HTTP Apache.

Cette option est prise en compte par tout module qui utilise ap_add_common_vars(), comme mod_cgi, mod_cgid, mod_proxy_fcgi, mod_proxy_scgi, etc... En particulier, elle affecte les modules qui ne traitent pas à proprement parler les requêtes, mais utilisent quand-même cette API, comme mod_include ou mod_ext_filter. Les modules tiers qui n'utilisent pas ap_add_common_vars() peuvent aussi choisir de prendre en compte cette option.

Directive CGIVar

Cette directive permet de contrôler la manière dont certaines variables CGI sont définies.

règles REQUEST_URI :

original-uri (valeur par défaut)

La valeur est extraite de la requête originale, et ne tient pas compte des redirections internes ou des sous-requêtes qui pourraient modifier la ressource demandée.

current-uri

La valeur reflète la ressource en cours de traitement ; elle peut être différente de la ressource demandée dans la requête initiale du client suite à d'éventuelles redirections internes ou sous-requêtes.

Directive ContentDigest

Cette directive active la génération d'un en-tête Content-MD5 selon les définitions des RFC 1864 et 2616.

MD5 est un algorithme permettant de générer un condensé (parfois appelé "empreinte") à partir de données d'une taille aléatoire ; le degré de précision est tel que la moindre altération des données d'origine entraîne une altération de l'empreinte.

L'en-tête Content-MD5 permet de vérifier l'intégrité de la réponse HTTP dans son ensemble. Un serveur mandataire ou un client peut utiliser cet en-tête pour rechercher une éventuelle modification accidentelle de la réponse au cours de sa transmission. Exemple d'en-tête :

Notez que des problèmes de performances peuvent affecter votre serveur, car l'empreinte est générée pour chaque requête (il n'y a pas de mise en cache).

L'en-tête Content-MD5 n'est envoyé qu'avec les documents servis par le module core, à l'exclusion de tout autre module. Ainsi, les documents SSI, les sorties de scripts CGI, et les réponses à des requêtes partielles (byte range) ne comportent pas cet en-tête.

Directive DefaultRuntimeDir

La directive DefaultRuntimeDir permet de définir le répertoire dans lequel le serveur va créer les différents fichiers relatifs à son exécution (mémoire partagée, verrous, etc...). Si le chemin spécifié est relatif, le chemin absolu sera généré relativement à la valeur de la directive ServerRoot

Example

DefaultRuntimeDir scratch/

La valeur par défaut de la directive DefaultRuntimeDir peut être modifiée en changeant la valeur de la macro DEFAULT_REL_RUNTIMEDIR définie à la compilation.

Note: si la valeur de ServerRoot n'a pas été spécifiée avant d'utiliser cette directive, c'est la valeur par défaut de ServerRoot qui sera utilisée pour définir la base du répertoire.

Voir aussi

• Voir les conseils à propos de sésurité pour plus d'informations en vue de définir correctement les permissions sur la racine du serveur ServerRoot

Directive DefaultType

Cette directive a été désactivée. Pour la compatibilité ascendante avec les anciens fichiers de configuration, elle peut être spécifiée avec la valeur none, c'est à dire sans type de médium par défaut. Par exemple :

DefaultType None

DefaultType None n'est disponible que dans les versions d'Apache 2.2.7 et supérieures.

Utilisez le fichier de configuration mime.types et la directive AddType pour configurer l'assignement d'un type de médium via les extensions de fichiers, ou la directive ForceType pour attribuer un type de médium à des ressources spécifiques. Dans le cas contraire, le serveur enverra sa réponse sans champ d'en-tête Content-Type, et le destinataire devra déterminer lui-même le type de médium.

Directive Define

Avec un seul paramètre, l'effet de la directive Define est identique à celui de l'argument -D du programme httpd. Il permet de modifier le comportement des sections <IfDefine> sans avoir à ajouter d'argument -D au sein des scripts de démarrage.

De plus, le second paramètre permet d'affecter une valeur à la variable définie par le premier. Cette variable peut être référencée dans le fichier de configuration via la syntaxe ${VAR}. La portée de la variable est toujours globale, et n'est jamais limitée à la section de configuration courante.

<IfDefine TEST>
  Define servername test.example.com
</IfDefine>
<IfDefine !TEST>
  Define servername www.example.com
  Define SSL
</IfDefine>

DocumentRoot "/var/www/${servername}/htdocs"

Le caractère ":" est interdit dans les noms de variables afin d'éviter les conflits avec la syntaxe de la directive RewriteMap.

Voir aussi

• UnDefine
• IfDefine

Directive <Directory>

Les balises <Directory> et </Directory> permettent de regrouper un ensemble de directives qui ne s'appliquent qu'au répertoire précisé, à ses sous-répertoires, et aux fichiers situés dans ces sous-répertoires. Toute directive autorisée dans un contexte de répertoire peut être utilisée. chemin répertoire est soit le chemin absolu d'un répertoire, soit une chaîne de caractères avec caractères génériques utilisant la comparaison Unix de style shell. Dans une chaîne de caractères avec caractères génériques, ? correspond à un caractère quelconque, et * à toute chaîne de caractères. Les intervalles de caractères [] sont aussi autorisés. Aucun caractère générique ne peut remplacer le caractère `/', si bien que l'expression <Directory "/*/public_html"> ne conviendra pas pour le chemin * /home/user/public_html, alors que <Directory "/home/*/public_html"> conviendra. Exemple :

<Directory "/usr/local/httpd/htdocs">
  Options Indexes FollowSymLinks
</Directory>

Les chemins de répertoires contenant des espaces doivent être entourés de guillemets afin d'empêcher l'interprétation de ces espaces comme fins d'arguments.

Les Expressions rationnelles peuvent aussi être utilisées en ajoutant le caractère ~. Par exemple :

<Directory ~ "^/www/[0-9]{3}">

</Directory>

pourra correspondre à tout répertoire situé dans /www/ et dont le nom se compose de trois chiffres.

Si plusieurs sections <Directory> (sans expression rationnelle) correspondent au répertoire (ou à un de ses parents) qui contient le document, les directives de la section <Directory> dont le chemin est le plus court sont appliquées en premier, en s'intercalant avec les directives des fichiers .htaccess. Par exemple, avec

<Directory "/">
  AllowOverride None
</Directory>

<Directory "/home">
  AllowOverride FileInfo
</Directory>

l'accès au document /home/web/dir/doc.html emprunte le chemin suivant :

• Aplication de la directive AllowOverride None (qui désactive les fichiers .htaccess).
• Application de la directive AllowOverride FileInfo (pour le répertoire /home).
• Application de toute directive FileInfo qui se trouverait dans d'éventuels fichiers /home/.htaccess, /home/web/.htaccess ou /home/web/dir/.htaccess, dans cet ordre.

Les directives associées aux répertoires sous forme d'expressions rationnelles ne sont prises en compte qu'une fois toutes les directives des sections sans expressions rationnelles appliquées. Alors, tous les répertoires avec expressions rationnelles sont testés selon l'ordre dans lequel ils apparaissent dans le fichier de configuration. Par exemple, avec

<Directory ~ "abc$">
  # ... directives ici ...
</Directory>

la section avec expression rationnelle ne sera prise en compte qu'après les sections <Directory> sans expression rationnelle et les fichiers .htaccess. Alors, l'expression rationnelle conviendra pour /home/abc/public_html/abc et la section <Directory> correspondante s'appliquera.

Notez que la politique d'accès par défaut dans les sections <Directory "/"> consiste à autoriser tout accès sans restriction. Ceci signifie qu'Apache httpd va servir tout fichier correspondant à une URL. Il est recommandé de modifier cette situation à l'aide d'un bloc du style

<Directory "/">
  Require all denied
</Directory>

puis d'affiner la configuration pour les répertoires que vous voulez rendre accessibles. Voir la page Conseils à propos de sécurité pour plus de détails.

Les sections <Directory> se situent dans le fichier apache2.conf. Les directives <Directory> ne peuvent pas être imbriquées et ne sont pas autorisées dans les sections <Limit> ou <LimitExcept>.

Voir aussi

• Comment fonctionnent les sections <Directory>, <Location> et <Files> pour des explications à propos de la manière dont ces différentes sections se combinent entre elles à la réception d'une requête

Directive <DirectoryMatch>

Les balises <DirectoryMatch> et </DirectoryMatch> permettent de regrouper un ensemble de directives qui ne s'appliqueront qu'au répertoire précisé (et aux fichiers qu'il contient), comme pour la section <Directory>. Cependant, le répertoire est précisé sous la forme d'une expression rationnelle. Par exemple :

<DirectoryMatch "^/www/(.+/)?[0-9]{3}/">
    # ...
</DirectoryMatch>

convient pour les sous-répertoires de /www/ dont le nom se compose de trois chiffres.

A partir de la version 2.4.8, les groupes nommés et les références arrières sont extraits et enregistrés dans l'environnement avec leur nom en majuscules et préfixé par "MATCH_". Ceci permet de référencer des URLs dans des expressions ou au sein de modules comme mod_rewrite. Pour éviter toute confusion, les références arrières numérotées (non nommées) sont ignorées. Vous devez utiliser à la place des groupes nommés.

<DirectoryMatch "^/var/www/combined/(?<sitename>[^/]+)">
    Require ldap-group cn=%{env:MATCH_SITENAME},ou=combined,o=Example
</DirectoryMatch>

Voir aussi

• <Directory> pour une description de la manière dont les expressions rationnelles sont traitées en présence d'autres sections <Directory> sans expressions rationnelles
• Comment fonctionnent les sections <Directory>, <Location> et <Files> pour une explication à propos de la manière dont ces différentes sections se combinent entre elles à la réception d'une requête

Directive DocumentRoot

Cette directive permet de définir le répertoire à partir duquel httpd va servir les fichiers. S'il ne correspond pas à un Alias, le chemin de l'URL sera ajouté par le serveur à la racine des documents afin de construire le chemin du document recherché. Exemple :

DocumentRoot "/usr/web"

un accès à http://my.example.com/index.html se réfère alors à /usr/web/index.html. Si chemin répertoire n'est pas un chemin absolu, il est considéré comme relatif au chemin défini par la directive ServerRoot.

Le répertoire défini par la directive DocumentRoot ne doit pas comporter de slash final.

Voir aussi

• Mise en correspondance des URLs avec le système de fichiers

Directive <Else>

La section <Else> applique les directives qu'elle contient si et seulement si les conditions correspondant à la section <If> ou <ElseIf> immédiatement supérieure et dans la même portée n'ont pas été satisfaites. Par exemple, dans :

<If "-z req('Host')">
  # ...
</If>
<Else>
  # ...
</Else>

La condition de la section <If> serait satisfaite pour les requêtes HTTP/1.0 sans en-tête Host:, alors que celle de la section <Else> le serait pour les requêtes comportant un en-tête Host:.

Voir aussi

• <If>
• <ElseIf>
• Fonctionnement des sections <Directory>, <Location>, <Files> pour une explication de la manière dont ces différentes section se combinent entre elles lorsqu'une requête est reçue. Les directives <If>, <ElseIf>, et <Else> s'appliquent en dernier.

Directive <ElseIf>

La section <ElseIf> applique les directives qu'elle contient si et seulement si d'une part la condition correspondante est satisfaite, et d'autre part la condition correspondant à la section <If> ou <ElseIf> de la même portée ne l'est pas. Par exemple, dans :

<If "-R '10.1.0.0/16'">
  #...
</If>
<ElseIf "-R '10.0.0.0/8'">
  #...
</ElseIf>
<Else>
  #...
</Else>

La condition correspondant à la section <ElseIf> est satisfaite si l'adresse distante de la requête appartient au sous-réseau 10.0.0.0/8, mais pas si elle appartient au sous-réseau 10.1.0.0/16.

Voir aussi

• Les expressions dans le serveur HTTP Apache, pour une référence complète et d'autres exemples.
• <If>
• <Else>
• Fonctionnement des sections <Directory>, <Location>, <Files> pour une explication de la manière dont ces différentes section se combinent entre elles lorsqu'une requête est reçue. Les directives <If>, <ElseIf>, et <Else> s'appliquent en dernier.

Directive EnableMMAP

Cette directive définit si httpd peut utiliser la projection en mémoire (Memory-Mapping) quand il doit lire le contenu d'un fichier pendant qu'il est servi. Par défaut, lorsque le traitement d'une requête requiert l'accès aux données contenues dans un fichier -- par exemple, pour servir un fichier interprété par le serveur à l'aide de mod_include -- Apache httpd projette le fichier en mémoire si le système d'exploitation le permet.

Cette projection en mémoire induit parfois une amélioration des performances. Sur certains systèmes cependant, il est préférable de désactiver la projection en mémoire afin d'éviter certains problèmes opérationnels :

• Sur certains systèmes multi-processeurs, la projection en mémoire peut dégrader les performances du programme httpd.
• S'il fait l'objet d'une projection en mémoire par httpd, la suppression ou la troncature d'un fichier peut provoquer un crash de httpd avec une erreur de segmentation.

Pour les configurations de serveur sujettes à ce genre de problème, il est préférable de désactiver la projection en mémoire des fichiers servis en spécifiant :

EnableMMAP Off

Pour les montages NFS, cette fonctionnalité peut être explicitement désactivée pour les fichiers concernés en spécifiant :

<Directory "/path-to-nfs-files">
  EnableMMAP Off
</Directory>

Directive EnableSendfile

Cette directive définit si le programme httpd peut utiliser le support sendfile du noyau pour transmettre le contenu des fichiers aux clients. Par défaut, lorsque le traitement d'une requête ne requiert pas l'accès aux données contenues dans un fichier -- par exemple, pour la transmission d'un fichier statique -- Apache httpd utilise sendfile pour transmettre le contenu du fichier sans même lire ce dernier, si le système d'exploitation le permet.

Ce mécanisme sendfile évite la séparation des opérations de lecture et d'envoi, ainsi que les réservations de tampons. sur certains systèmes cependant, ou sous certains systèmes de fichiers, il est préférable de désactiver cette fonctionnalité afin d'éviter certains problèmes opérationnels :

• Certains systèmes peuvent présenter un support sendfile défectueux que le système de compilation n'a pas détecté, en particulier si les exécutables ont été compilés sur une autre machine, puis copiés sur la première avec un support sendfile défectueux.
• Sous Linux, l'utilisation de sendfile induit des bogues lors de la récupération des paquets de vérification TCP (TCP-checksum) avec certaines cartes réseau lorsqu'on utilise IPv6.
• Sous Linux sur Itanium, sendfile peut s'avérer incapable de traiter les fichiers de plus de 2 Go.
• Avec un montage réseau de DocumentRoot (par exemple NFS, SMB, CIFS, FUSE), le noyau peut s'avérer incapable de servir un fichier de ce montage réseau en passant par son propre cache.

Pour les configurations de serveur non sujettes à ce genre de problème, vous pouvez activer cette fonctionnalité en spécifiant :

EnableSendfile On

Pour les montages réseau, cette fonctionnalité peut être explicitement désactivée pour les fichiers concernés en spécifiant :

<Directory "/path-to-nfs-files">
  EnableSendfile Off
</Directory>

Veuillez noter que la configuration de la directive EnableSendfile dans un contexte de répertoire ou de fichier .htaccess n'est pas supportée par mod_cache_disk. Le module ne prend en compte la définition de EnableSendfile que dans un contexte global.

Directive Error

Si une erreur peut être détectée dans la configuration, souvent un module manquant, cette directive peut être utilisée pour générer un message d'erreur personnalisé, et interrompre la lecture de la configuration.

# Exemple
# vérification du chargement de mod_include
<IfModule !include_module>
  Error "mod_include is required by mod_foo.  Load it with LoadModule."
</IfModule>

# vérification de la définition de SSL ou (exclusif) NOSSL
<IfDefine SSL>
<IfDefine NOSSL>
  Error "Both SSL and NOSSL are defined.  Define only one of them."
</IfDefine>
</IfDefine>
<IfDefine !SSL>
<IfDefine !NOSSL>
  Error "Either SSL or NOSSL must be defined."
</IfDefine>
</IfDefine>

Directive ErrorDocument

Apache httpd peut traiter les problèmes et les erreurs de quatre manières,

1. afficher un simple message d'erreur au contenu fixe
2. afficher un message personnalisé
3. rediriger en interne vers un chemin d'URL local pour traiter le problème ou l'erreur
4. rediriger vers une URL externe pour traiter le problème ou l'erreur

La première option constitue le comportement par défaut; pour choisir une des trois autres options, il faut configurer Apache à l'aide de la directive ErrorDocument, suivie du code de la réponse HTTP et d'une URL ou d'un message. Apache httpd fournit parfois des informations supplémentaires à propos du problème ou de l'erreur.

A partir de la version 2.4.13, il est possible d'utiliser la syntaxe des expressions dans cette directive afin de générer des chaînes et URLs dynamiques.

Les URLs peuvent commencer par un slash (/) pour les chemins web locaux (relatifs au répertoire défini par la directive DocumentRoot), ou se présenter sous la forme d'une URL complète que le client pourra résoudre. Alternativement, un message à afficher par le navigateur pourra être fourni. Notez que la décision de considérer le paramètre comme URL, chemin ou message intervient avant toute interprètation d'expression. Exemples :

ErrorDocument 500 http://example.com/cgi-bin/server-error.cgi
ErrorDocument 404 /errors/bad_urls.php
ErrorDocument 401 /subscription_info.html
ErrorDocument 403 "Sorry can't allow you access today"
ErrorDocument 403 Forbidden!
ErrorDocument 403 /errors/forbidden.py?referrer=%{escape:%{HTTP_REFERER}}

De plus, on peut spécifier la valeur spéciale default pour indiquer l'utilisation d'un simple message d'Apache httpd codé en dur. Bien que non nécessaire dans des circonstances normales, la spécification de la valeur default va permettre de rétablir l'utilisation du simple message d'Apache httpd codé en dur pour les configurations qui sans cela, hériteraient d'une directive ErrorDocument existante.

ErrorDocument 404 /cgi-bin/bad_urls.pl

<Directory "/web/docs">
  ErrorDocument 404 default
</Directory>

Notez que lorsque vous spécifiez une directive ErrorDocument pointant vers une URL distante (c'est à dire tout ce qui commence par le préfixe http), le serveur HTTP Apache va envoyer une redirection au client afin de lui indiquer où trouver le document, même dans le cas où ce document se trouve sur le serveur local. Ceci a de nombreuses conséquences dont la plus importante réside dans le fait que le client ne recevra pas le code d'erreur original, mais au contraire un code de statut de redirection. Ceci peut en retour semer la confusion chez les robots web et divers clients qui tentent de déterminer la validité d'une URL en examinant le code de statut. De plus, si vous utilisez une URL distante avec ErrorDocument 401, le client ne saura pas qu'il doit demander un mot de passe à l'utilisateur car il ne recevra pas le code de statut 401. C'est pourquoi, si vous utilisez une directive ErrorDocument 401, elle devra faire référence à un document par le biais d'un chemin local.

Microsoft Internet Explorer (MSIE) ignore par défaut les messages d'erreur générés par le serveur lorsqu'ils sont trop courts et remplacent ses propres messages d'erreur "amicaux". Le seuil de taille varie en fonction du type d'erreur, mais en général, si la taille de votre message d'erreur est supérieure à 512 octets, il y a peu de chances pour que MSIE l'occulte, et il sera affiché par ce dernier. Vous trouverez d'avantage d'informations dans l'article de la base de connaissances Microsoft Q294807.

Bien que la plupart des messages d'erreur internes originaux puissent être remplacés, ceux-ci sont cependant conservés dans certaines circonstances sans tenir compte de la définition de la directive ErrorDocument. En particulier, en cas de détection d'une requête mal formée, le processus de traitement normal des requêtes est immédiatement interrompu, et un message d'erreur interne est renvoyé, ceci afin de se prémunir contre les problèmes de sécurité liés aux requêtes mal formées.

Si vous utilisez mod_proxy, il est en général préférable d'activer ProxyErrorOverride afin d'être en mesure de produire des messages d'erreur personnalisés pour le compte de votre serveur d'origine. Si vous n'activez pas ProxyErrorOverride, Apache httpd ne générera pas de messages d'erreur personnalisés pour le contenu mandaté.

Voir aussi

• documentation sur la personnalisation des réponses

Directive ErrorLog

La directive ErrorLog permet de définir le nom du fichier dans lequel le serveur va journaliser toutes les erreurs qu'il rencontre. Si le file-path n'est pas absolu, il est considéré comme relatif au chemin défini par la directive ServerRoot.

ErrorLog "/var/log/httpd/error_log"

Si le file-path commence par une barre verticale "(|)", il est considéré comme une commande à lancer pour traiter la journalisation de l'erreur.

ErrorLog "|/usr/local/bin/httpd_errors"

Voir les notes à propos des journaux redirigés pour plus d'informations.

L'utilisation de syslog à la place d'un nom de fichier active la journalisation via syslogd(8) si le système le supporte. Le dispositif syslog par défaut est local7, mais vous pouvez le modifier à l'aide de la syntaxe syslog:facility, où facility peut être remplacé par un des noms habituellement documentés dans la page de man syslog(1). Le dispositif syslog local7 est global, et si il est modifié dans un serveur virtuel, le dispositif final spécifié affecte l'ensemble du serveur. La même règle s'applique au tag syslog qui utilise par défaut le nom du binaire du serveur HTTP Apache httpd dans la plupart des cas. Vous pouvez aussi modifier cette valeur en utilisant la syntaxe syslog::tag.

ErrorLog syslog:user
ErrorLog syslog:user:httpd.srv1
ErrorLog syslog::httpd.srv2

Des modules supplémentaires peuvent fournir leurs propres fournisseurs ErrorLog. La syntaxe est similaire à celle de l'exemple syslog ci-dessus.

SECURITE : Voir le document conseils à propos de sécurité pour des détails sur les raisons pour lesquelles votre sécurité peut être compromise si le répertoire contenant les fichiers journaux présente des droits en écriture pour tout autre utilisateur que celui sous lequel le serveur est démarré.

Voir aussi

• LogLevel
• Fichiers journaux du serveur HTTP Apache

Directive ErrorLogFormat

La directive ErrorLogFormat permet de spécifier quelles informations supplémentaires vont être enregistrées dans le journal des erreurs en plus du message habituel.

# Exemple simple
ErrorLogFormat "[%t] [%l] [pid %P] %F: %E: [client %a] %M"

La spécification de connection ou request comme premier paramètre permet de définir des formats supplémentaires, ce qui a pour effet de journaliser des informations additionnelles lorsque le premier message est enregistré respectivement pour une connexion ou une requête spécifique. Ces informations additionnelles ne sont enregistrées qu'une seule fois par connexion/requête. Si le traitement d'une connexion ou d'une requête ne génère aucun message dans le journal, alors aucune information additionnelle n'est enregistrée.

Il peut arriver que certains items de la chaîne de format ne produisent aucune sortie. Par exemple, l'en-tête Referer n'est présent que si le message du journal est associé à une requête et s'il est généré à un moment où l'en-tête Referer a déjà été lu par le client. Si aucune sortie n'est générée, le comportement par défaut consiste à supprimer tout ce qui se trouve entre l'espace précédent et le suivant. Ceci implique que la ligne de journalisation est divisée en champs ne contenant pas d'espace séparés par des espaces. Si un item de la chaîne de format ne génère aucune sortie, l'ensemble du champ est omis. Par exemple, si l'adresse distante %a du format [%t] [%l] [%a] %M  n'est pas disponible, les crochets qui l'entourent ne seront eux-mêmes pas enregistrés. Il est possible d'échapper les espaces par un anti-slash afin qu'ils ne soient pas considérés comme séparateurs de champs. La combinaison '% ' (pourcentage espace) est un délimiteur de champ de taille nulle qui ne génère aucune sortie.

Ce comportement peut être changé en ajoutant des modificateurs à l'item de la chaîne de format. Le modificateur - (moins) provoque l'enregistrement d'un signe moins si l'item considéré ne génère aucune sortie. Pour les formats à enregistrement unique par connexion/requête, il est aussi possible d'utiliser le modificateur + (plus). Si un item ne générant aucune sortie possède le modificateur plus, la ligne dans son ensemble est omise.

Un modificateur de type entier permet d'assigner un niveau de sévérité à un item de format. L'item considéré ne sera journalisé que si la sévérité du message n'est pas plus haute que le niveau de sévérité spécifié. Les valeurs possibles vont de 1 (alert) à 15 (trace8), en passant par 4 (warn) ou 7 (debug).

Par exemple, voici ce qui arriverait si vous ajoutiez des modificateurs à l'item %{Referer}i qui enregistre le contenu de l'en-tête Referer.

Certains items de format acceptent des paramètres supplémentaires entre accolades.

L'item de format identifiant journal %L génère un identifiant unique pour une connexion ou une requête. Il peut servir à déterminer quelles lignes correspondent à la même connexion ou requête ou quelle requête est associée à tel connexion. Un item de format %L est aussi disponible dans le module mod_log_config, mais il permet dans ce contexte de corréler les entrées du journal des accès avec celles du journal des erreurs. Si le module mod_unique_id est chargé, c'est son identifiant unique qui sera utilisé comme identifiant de journal pour les requêtes.

# Exemple (format par défaut pour les MPMs threadés)
ErrorLogFormat "[%{u}t] [%-m:%l] [pid %P:tid %T] %7F: %E: [client\ %a] %M% ,\ referer\ %{Referer}i"

Cet exemple renverrait un message d'erreur du style :

Notez que, comme indiqué plus haut, certains champs sont totalement supprimés s'ils n'ont pas été définis.

# Exemple (similaire au format 2.2.x)
ErrorLogFormat "[%t] [%l] %7F: %E: [client\ %a] %M% ,\ referer\ %{Referer}i"

# Exemple avancé avec identifiants journal de requête/connexion
ErrorLogFormat "[%{uc}t] [%-m:%-l] [R:%L] [C:%{C}L] %7F: %E: %M"
ErrorLogFormat request "[%{uc}t] [R:%L] Request %k on C:%{c}L pid:%P tid:%T"
ErrorLogFormat request "[%{uc}t] [R:%L] UA:'%+{User-Agent}i'"
ErrorLogFormat request "[%{uc}t] [R:%L] Referer:'%+{Referer}i'"
ErrorLogFormat connection "[%{uc}t] [C:%{c}L] local\ %a remote\ %A"

Voir aussi

• ErrorLog
• LogLevel
• Fichiers journaux du serveur HTTP Apache

Directive ExtendedStatus

Cette option permet d'extraire des données supplémentaires concernant la requête en cours de traitement pour un processus donné, et crée un résumé d'utilisation ; vous pouvez accéder à ces variables pendant l'exécution en configurant mod_status. Notez que d'autres modules sont susceptibles de s'appuyer sur ce tableau de bord.

Cette directive s'applique au serveur dans son ensemble, et ne peut pas être activée/désactivée pour un serveur virtuel particulier. Notez que l'extraction des informations d'état étendues peut ralentir le serveur. Notez aussi que cette définition ne peut pas être modifiée au cours d'un redémarrage graceful.

Directive FileETag

La directive FileETag définit les caractéristiques de fichier utilisées lors de la génération de l'en-tête de réponse HTTP ETag (entity tag) quand le document est contenu dans un fichier statique(la valeur de ETag est utilisée dans le cadre de la gestion du cache pour préserver la bande passante réseau). La directive FileETag vous permet maintenant de choisir quelles caractéristiques du fichier vont être utilisées, le cas échéant. Les mots-clés reconnus sont :

INode

Le numéro d'i-node du fichier sera inclus dans le processus de génération

MTime

La date et l'heure auxquelles le fichier a été modifié la dernière fois seront incluses

Size

La taille du fichier en octets sera incluse

All

Tous les champs disponibles seront utilisés. Cette définition est équivalente à :

FileETag INode MTime Size

None

Si le document se compose d'un fichier, aucun champ ETag ne sera inclus dans la réponse

Les mots-clés INode, MTime, et Size peuvent être préfixés par + ou -, ce qui permet de modifier les valeurs par défaut héritées d'un niveau de configuration plus général. Tout mot-clé apparaissant sans aucun préfixe annule entièrement et immédiatement les configurations héritées.

Si la configuration d'un répertoire contient FileETag INode MTime Size, et si un de ses sous-répertoires contient FileETag -INode, la configuration de ce sous-répertoire (qui sera propagée vers tout sous-répertoire qui ne la supplante pas), sera équivalente à FileETag MTime Size.

Directive <Files>

La directive <Files> limite la portée des directives qu'elle contient aux fichiers précisés. Elle est comparable aux directives <Directory> et <Location>. Elle doit se terminer par une balise </Files>. Les directives contenues dans cette section s'appliqueront à tout objet dont le nom de base (la dernière partie du nom de fichier) correspond au fichier spécifié. Les sections <Files> sont traitées selon l'ordre dans lequel elles apparaissent dans le fichier de configuration, après les sections <Directory> et la lecture des fichiers .htaccess, mais avant les sections <Location>. Notez que les sections <Files> peuvent être imbriquées dans les sections <Directory> afin de restreindre la portion du système de fichiers à laquelle ces dernières vont s'appliquer.

L'argument filename peut contenir un nom de fichier ou une chaîne de caractères avec caractères génériques, où ? remplace un caractère, et * toute chaîne de caractères.

<Files "cat.html">
    # Insérer ici des directives qui s'appliquent au fichier cat.html
</Files>

<Files "?at.*">
    # Les directives insérées ici s'appliqueront aux fichiers
    # cat.html, bat.html, hat.php, et ainsi de suite.
</Files>

On peut aussi utiliser les Expressions rationnelles en ajoutant la caractère ~. Par exemple :

<Files ~ "\.(gif|jpe?g|png)$">
    #...
</Files>

correspondrait à la plupart des formats graphiques de l'Internet. Il est cependant préférable d'utiliser la directive <FilesMatch>.

Notez qu'à la différence des sections <Directory> et <Location>, les sections <Files> peuvent être utilisées dans les fichiers .htaccess. Ceci permet aux utilisateurs de contrôler l'accès à leurs propres ressources, fichier par fichier.

Voir aussi

• Comment fonctionnent les sections <Directory>, <Location> et <Files> pour une explication de la manière dont ces différentes sections se combinent entre elles à la réception d'une requête

Directive <FilesMatch>

La section <FilesMatch> limite la portée des directives qu'elle contient aux fichiers spécifiés, tout comme le ferait une section <Files>. Mais elle accepte aussi les expressions rationnelles. Par exemple :

<FilesMatch ".+\.(gif|jpe?g|png)$">
    # ...
</FilesMatch>

correspondrait à la plupart des formats graphiques de l'Internet.

A partir de la version 2.4.8, les groupes nommés et les références arrières sont extraits et enregistrés dans l'environnement avec leur nom en majuscules et préfixé par "MATCH_". Ceci permet de référencer des URLs dans des expressions ou au sein de modules comme mod_rewrite. Pour éviter toute confusion, les références arrières numérotées (non nommées) sont ignorées. Vous devez utiliser à la place des groupes nommés.

<FilesMatch "^(?<sitename>[^/]+)">
    Require ldap-group cn=%{env:MATCH_SITENAME},ou=combined,o=Example
</FilesMatch>

Voir aussi

• Comment fonctionnent les sections <Directory>, <Location> et <Files> pour une explication de la manière dont ces différentes sections se combinent entre elles à la réception d'une requête

Directive ForceType

Lorsqu'elle est placée dans un fichier .htaccess ou une section <Directory>, <Location>, ou <Files>, cette directive force l'identification du type MIME des fichiers spécifiés à la valeur de l'argument type médium. Par exemple, si vous possédez un répertoire ne contenant que des fichiers GIF, et si vous ne voulez pas leur ajouter l'extension .gif, vous pouvez utiliser :

ForceType image/gif

Notez que cette directive l'emporte sur d'autres associations de type de médium indirectes définies dans mime.types ou via la directive AddType.

Vous pouvez aussi annuler toute définition plus générale de ForceType en affectant la valeur None à l'argument type médium :

# force le type MIME de tous les fichiers à image/gif:
<Location "/images">
  ForceType image/gif
</Location>

# mais utilise les méthodes classiques d'attribution du type MIME
# dans le sous-répertoire suivant :
<Location "/images/mixed">
  ForceType None
</Location>

A la base, cette directive écrase le type de contenu généré pour les fichiers statiques servis à partir du sytème de fichiers. Pour les ressources autres que les fichiers statiques pour lesquels le générateur de réponse spécifie en général un type de contenu, cette directive est ignorée.

Directive GprofDir

Lorsque le serveur a été compilé avec le support du profiling gprof, la directive GprofDir permet de spécifier dans quel répertoire les fichiers gmon.out doivent être écrits lorsque le processus s'arrête. Si l'argument se termine par un caractère pourcentage ('%'), des sous-répertoires sont créés pour chaque identifiant de processus.

Cette directive ne fonctionne actuellement qu'avec le MPM prefork.

Directive HostnameLookups

Cette directive active la recherche DNS afin de pouvoir journaliser les nom d'hôtes (et les passer aux programmes CGI et aux inclusions SSI via la variable REMOTE_HOST). La valeur Double déclenche une double recherche DNS inverse. En d'autres termes, une fois la recherche inverse effectuée, on lance une recherche directe sur le résultat de cette dernière. Au moins une des adresses IP fournies par la recherche directe doit correspondre à l'adresse originale (ce que l'on nomme PARANOID dans la terminologie "tcpwrappers").

Quelle que soit la configuration, lorsqu'on utilise mod_authz_host pour contrôler l'accès en fonction du nom d'hôte, une double recherche DNS inverse est effectuée, sécurité oblige. Notez cependant que le résultat de cette double recherche n'est en général pas accessible, à moins que vous n'ayez spécifié HostnameLookups Double. Par exemple, si vous n'avez spécifié que HostnameLookups On, et si une requête concerne un objet protégé par des restrictions en fonction du nom d'hôte, quel que soit le résultat de la double recherche inverse, les programmes CGI ne recevront que le résultat de la recherche inverse simple dans la variable REMOTE_HOST.

La valeur par défaut est Off afin de préserver le traffic réseau des sites pour lesquels la recherche inverse n'est pas vraiment nécessaire. Cette valeur par défaut est aussi bénéfique pour les utilisateurs finaux car il n'ont ainsi pas à subir de temps d'attente supplémentaires dus aux recherches DNS. Les sites fortement chargés devraient laisser cette directive à Off, car les recherches DNS peuvent prendre des temps très longs. Vous pouvez éventuellement utiliser hors ligne l'utilitaire logresolve, compilé par défaut dans le sous-répertoire bin de votre répertoire d'installation, afin de déterminer les noms d'hôtes associés aux adresses IP journalisées.

Enfin, si vous avez des directives Require à base de nom, une recherche de nom d'hôte sera effectuée quelle que soit la définition de la directive HostnameLookups.

Directive HttpProtocolOptions

Cette directive permet de modifier les règles qui s'appliquent à la ligne de requête HTTP (RFC 7230 §3.1.1) et aux champs des en-têtes des requêtes HTTP (RFC 7230 §3.2), qui s'appliquent maintenant par défaut ou en utilisant l'option Strict. L'option Unsafe a été ajoutée pour pouvoir restaurer les anciens comportements nécessaires aux anciens modules et applications et aux agents utilisateurs personnalisés considérés comme obsolètes.

Ces règles s'appliquant avant le traitement de la requête, elles doivent, pour être prises en compte, être définies au niveau global ou dans la première section par défaut du serveur virtuel qui correspond à la requête considérée, par interface IP/port et non par nom.

Cette directive accepte trois paramètres issus de la liste suivante, ceux qui ne sont pas spécifiés prenant leur valeur par défaut :

Strict|Unsafe

Avant l'introduction de cette directive, les interpréteurs de requêtes du serveur HTTP Apache toléraient un grand nombre de formats en entrée qui n'étaient pas forcément conformes au protocole. RFC 7230 §9.4 Request Splitting et §9.5 Response Smuggling ne rappellent que deux des risques potentiels induits par des requêtes non conformes, alors que RFC 7230 §3.5 signale les risques encourus par l'acceptation de blancs non conformes dans les lignes de requête. Avec l'introduction de cette directive, toutes les règles de grammaire de la spécification doivent être respectées dans le mode d'opérations par défaut Strict.

Risques de sécurité liés au mode Unsafe

Il est fortement déconseillé aux utilisateurs d'utiliser le mode d'opération Unsafe, ou UnsafeWhitespace, en particulier pour les déploiements de serveurs ouverts sur l'extérieur et/ou accessibles au public. Si un moniteur défectueux ou autre logiciel spécialisé ne s'exécutant que sur un intranet nécessite une interface, les utilisateurs ne doivent utiliser les options de type UnSafe qu'en cas de nécessité et uniquement au sein d'un serveur virtuel bien spécifique et sur un réseau privé.

Exemple de requête provoquant l'envoi d'un message HTTP 400 en mode Strict

# Missing CRLF
GET / HTTP/1.0\n\n

Utilitaires en ligne de commande et CRLF

Il peut s'avérer nécessaire de forcer certains utilitaires à utiliser CRLF ; si ce n'est pas le cas, httpd reverra une réponse HTTP 400 comme dans le cas précédent. Par exemple, le client OpenSSL s_client doit utiliser le paramètre -crlf pour fonctionner correctement.

Pour détecter des problèmes tels que l'absence de CRLF, vous pouvez utiliser la directive DumpIOInput qui permet de décortiquer les requêtes HTTP.

RegisteredMethods|LenientMethods

La section de la RFC 7231 §4.1 "Request Methods" "Overview" indique que les serveurs doivent renvoyer un message d'erreur lorsque la ligne de requête comporte une méthode non supportée. C'est déjà le cas lorsque l'option LenientMethods est utilisée, mais les administrateurs ont la possibilité de limiter les méthodes utilisées via l'option RegisteredMethods en enregistrant toute méthode non standard via la directive RegisterHttpMethod, en particulier si l'option Unsafe est utilisée.

Compatibilité avec le mandat direct

L'option RegisteredMethods ne doit pas être utilisée pour les serveurs mandataires car ces derniers ne connaissent pas les méthodes supportées par les serveurs originaux.

Exemple de requête provoquant l'envoi d'un message HTTP 501 en mode LenientMethods

# Méthode HTTP inconnue
WOW / HTTP/1.0\r\n\r\n

# Méthode HTTP spécifiée en minuscules
get / HTTP/1.0\r\n\r\n


Allow0.9|Require1.0

La section de la RFC 2616 §19.6 "Compatibility With Previous Versions" encouragait les serveurs HTTP à supporter les anciennes requêtes HTTP/0.9. La RFC 7230 va cependant à son encontre via sa préconisation "Le souhait de supporter les requêtes HTTP/0.9 a été supprimé" et y adjoint des commentaires dans RFC 7230 Appendix A. A ce titre, l'option Require1.0 permet à l'utilisateur d'inhiber le comportement induit par l'option par défaut Allow0.9.

Exemple de requête provoquant l'envoi d'un message HTTP 400 en mode Require1.0

# Version HTTP non supportée
GET /\r\n\r\n

La consultation des messages enregistrés dans le journal ErrorLog, configuré via la directive LogLevel avec un niveau info, pourra vous aider à identifier de telles requêtes non conformes ainsi que leur provenance. Les utilisateurs devront accorder une attention particulière aux messages d'erreur de type 400 dans le journal access pour détecter les requêtes apparemment valides mais rejetées.

Directive <If>

La directive <If> évalue une expression à la volée, et applique les directives qu'elle contient si et seulement si l'expression renvoie la valeur "vrai". Par exemple :

<If "-z req('Host')">

serait satisfaite pour les requêtes HTTP/1.0 sans en-tête Host:. Les expressions peuvent contenir différents opérateurs de type shell pour la comparaison de chaînes (==, !=, <, ...), la comparaison d'entiers (-eq, -ne, ...), ou à usages divers (-n, -z, -f, ...). Les expressions rationnelles sont aussi supportées,

<If "%{QUERY_STRING} =~ /(delete|commit)=.*?elem/">

ainsi que les comparaison de modèles de type shell et de nombreuses autres opérations. Ces opérations peuvent être effectuées sur les en-têtes de requêtes (req), les variables d'environnement (env), et un grand nombre d'autres propriétés. La documentation complète est disponible dans Les expressions dans le serveur HTTP Apache.

Cette section de configuration ne peut contenir que des directives qui supportent le contexte de répertoire.

Voir aussi

• Les expressions dans le serveur HTTP Apache, pour une référence complète et d'autres exemples.
• <ElseIf>
• <Else>
• Comment fonctionnent les sections <Directory>, <Location> et <Files> pour une explication de la manière dont ces différentes sections se combinent entre elles à la réception d'une requête. Les directives <If>, <ElseIf>, et <Else> s'appliquent en dernier.

Directive <IfDefine>

La section <IfDefine test>...</IfDefine> permet de conférer un caractère conditionnel à un ensemble de directives. Les directives situées à l'intérieur d'une section <IfDefine> ne s'appliquent que si test est vrai. Si test est faux, tout ce qui se trouve entre les balises de début et de fin est ignoré.

test peut se présenter sous deux formes :

• nom paramètre
• !nom paramètre

Dans le premier cas, les directives situées entre les balises de début et de fin ne s'appliqueront que si le paramètre nommé nom paramètre est défini. Le second format inverse le test, et dans ce cas, les directives ne s'appliqueront que si nom paramètre n'est pas défini.

L'argument nom paramètre est une définition qui peut être effectuée par la ligne de commande httpd via le paramètre -Dparamètre au démarrage du serveur, ou via la directive Define.

Les sections <IfDefine> peuvent être imbriquées, ce qui permet d'implémenter un test multi-paramètres simple. Exemple :

<IfDefine ReverseProxy>
  LoadModule proxy_module   modules/mod_proxy.so
  LoadModule proxy_http_module   modules/mod_proxy_http.so
  <IfDefine UseCache>
    LoadModule cache_module   modules/mod_cache.so
    <IfDefine MemCache>
      LoadModule mem_cache_module   modules/mod_mem_cache.so
    </IfDefine>
    <IfDefine !MemCache>
      LoadModule cache_disk_module   modules/mod_cache_disk.so
    </IfDefine>
  </IfDefine>
</IfDefine>

Directive <IfDirective>

La section <IfDirective test>...</IfDirective> permet de regrouper des directives dont le traitement n'est effectué que si une directive particulière est présente, autrement dit si l'expression test est évaluée à true. Si l'expression test est évaluée à false, toutes les lignes qui se trouvent entre les balises de début et de fin de la section sont ignorées.

L'expression test de la section <IfDirective> peut prendre les deux formes suivantes :

• directive-name
• !directive-name

Dans le premier cas, les directives qui se situent entre les balises de début et de fin de la section ne sont traitées que si une directive de nom directive-name est disponible à cet instant. Dans le second cas, la condition est inversée, et les directives ne sont traitées que si directive-name n'est pas disponible.

Voir aussi

• <IfSection>

Directive <IfFile>

La section <IfFile filename>...</IfFile> permet de conditionner le traitement de directives à l'existence d'un fichier sur disque. Ainsi, les directives définies au sein d'une section <IfFile> ne seront traitées que si le fichier filename existe. Si le fichier filename n'existe pas, tout ce qui se trouve entre les marqueurs start et end sera ignoré. filename peut être un chemin absolu ou relatif au chemin défini par la directive ServerRoot.

Le paramètre filename de l'en-tête d'une section <IfFile> peut prendre la même forme que la variable test de la section <IfDefine> ; à ce titre, le résultat du test peut être inversé en plaçant le caractère ! juste avant filename.

Si filename est un chemin relatif, il sera généré par rapport au chemin défini par la directive ServerRoot. Lorsque la directive <IfFile> intervient avant la définition de la directive ServerRoot, filename sera relatif au répertoire racine par défaut du serveur ou au répertoire racine passé dans la ligne de commande via l'option -d.

Directive <IfModule>

La section <IfModule test>...</IfModule> permet de conférer à des directives un caractère conditionnel basé sur la présence d'un module spécifique. Les directives situées dans une section <IfModule> ne s'appliquent que si test est vrai. Si test est faux, tout ce qui se trouve entre les balises de début et de fin est ignoré.

test peut se présenter sous deux formes :

• module
• !module

Dans le premier cas, les directives situées entre les balises de début et de fin ne s'appliquent que si le module module est présent -- soit compilé avec le binaire Apache httpd, soit chargé dynamiquement via la directive LoadModule. Le second format inverse le test, et dans ce cas, les directives ne s'appliquent que si module n'est pas présent.

L'argument module peut contenir soit l'identificateur du module, soit le nom du fichier source du module. Par exemple, rewrite_module est un identificateur et mod_rewrite.c le nom du fichier source correspondant. Si un module comporte plusieurs fichiers sources, utilisez le nom du fichier qui contient la chaîne de caractères STANDARD20_MODULE_STUFF.

Les sections <IfModule> peuvent être imbriquées, ce qui permet d'implémenter des tests multi-modules simples.

Directive <IfSection>

La section <IfSection test>...</IfSection> permet de regrouper des directives dont le traitement n'est effectué que si une section de configuration particulière est présente. Une section, par exemple <VirtualHost>, permet de regrouper des directives et possède un nom précédé du caractère "<".

Les directives situées à l'intérieur d'une section <IfSection> ne sont traitées que si l'expression test est évaluée à true. Si l'expression test est évaluée à false, toutes les lignes situées entre les balises de début et de fin de la section sont ignorées.

section-name doit être spécifié sans les caractères de début "<" ou fin ">". L'expression test de la section <IfSection> peut prendre deux formes :

• section-name
• !section-name

Dans le premier cas, les directives qui se situent entre les balises de début et de fin de la section ne sont traitées que si une section de nom section-name est disponible à cet instant. Dans le second cas, la condition est inversée, et les directives ne sont traitées que si section-name n'est pas disponible.

Par exemple :

<IfSection VirtualHost>
   ...
</IfSection>

Voir aussi

• <IfDirective>

Directive Include

Cette directive permet l'inclusion d'autres fichiers de configuration dans un des fichiers de configuration du serveur.

On peut utiliser des caractères génériques de style Shell (fnmatch()) aussi bien dans la partie nom de fichier du chemin que dans la partie répertoires pour inclure plusieurs fichiers en une seule fois, selon leur ordre alphabétique. De plus, si la directive Include pointe vers un répertoire, Apache httpd inclura tous les fichiers de ce répertoire et de tous ces sous-répertoires. L'inclusion de répertoires entiers est cependant déconseillée, car il est fréquent d'oublier des fichiers temporaires dans un répertoire, ce qui causerait une erreur httpd en cas d'inclusion. Pour inclure des fichiers qui correspondent à un certain modèle, comme *.conf par exemple, nous vous recommandons d'utiliser plutôt la syntaxe avec caractères génériques comme ci-dessous.

La directive Include échouera avec un code d'erreur si une expression contenant des caractères génériques ne correspond à aucun fichier. Pour ignorer les expressions contenant des caractères génériques ne correspondant à aucun fichier, utilisez la directive IncludeOptional.

Le chemin fichier spécifié peut être soit un chemin absolu, soit un chemin relatif au répertoire défini par la directive ServerRoot.

Exemples :

Include /usr/local/apache2/conf/ssl.conf
Include /usr/local/apache2/conf/vhosts/*.conf

ou encore, avec des chemins relatifs au répertoire défini par la directive ServerRoot :

Include conf/ssl.conf
Include conf/vhosts/*.conf

On peut aussi insérer des caractères génériques dans la partie répertoires du chemin. Dans l'exemple suivant, la directive échouera si aucun sous-répertoire de conf/vhosts ne contient au moins un fichier *.conf :

Include conf/vhosts/*/*.conf

Par contre, dans l'exemple suivant, la directive sera simplement ignorée si aucun sous-répertoire de conf/vhosts ne contient au moins un fichier *.conf :

IncludeOptional conf/vhosts/*/*.conf

Voir aussi

• IncludeOptional
• apache2ctl

Directive IncludeOptional

Cette directive permet d'inclure des fichiers dans les fichiers de configuration du serveur. Elle fonctionne de manière identique à la directive Include, mais au lieu de générer une erreur, elle sera ignorée silensieusement si malgré l'utilisation de caractères génériques, le chemin de fichier ou de répertoire spécifié n'existe pas dans le système de fichiers.

Voir aussi

• Include
• apache2ctl

Directive KeepAlive

L'extension Keep-Alive de HTTP/1.0 et l'implémentation des connexions persistantes dans HTTP/1.1 ont rendu possibles des sessions HTTP de longue durée, ce qui permet de transmettre plusieurs requêtes via la même connexion TCP. Dans certains cas, le gain en rapidité pour des documents comportant de nombreuses images peut atteindre 50%. Pour activer les connexions persistantes, définissez KeepAlive On.

Pour les clients HTTP/1.0, les connexions persistantes ne seront mises en oeuvre que si elles ont été spécialement demandées par un client. De plus, une connexion persistante avec un client HTTP/1.0 ne peut être utilisée que si la taille du contenu est connue d'avance. Ceci implique que les contenus dynamiques comme les sorties CGI, les pages SSI, et les listings de répertoires générés par le serveur n'utiliseront en général pas les connexions persistantes avec les clients HTTP/1.0. Avec les clients HTTP/1.1, les connexions persistantes sont utilisées par défaut, sauf instructions contraires. Si le client le demande, le transfert par tronçons de taille fixe (chunked encoding) sera utilisé afin de transmettre un contenu de longueur inconnue via une connexion persistante.

Lorsqu'un client utilise une connexion persistante, elle comptera pour une seule requête pour la directive MaxConnectionsPerChild, quel que soit le nombre de requêtes transmises via cette connexion.

Voir aussi

• MaxKeepAliveRequests

Directive KeepAliveTimeout

Le nombre de secondes pendant lesquelles Apache httpd va attendre une requête avant de fermer la connexion. Le délai peut être défini en millisecondes en suffixant sa valeur par ms. La valeur du délai spécifiée par la directive Timeout s'applique dès qu'une requête a été reçue.

Donner une valeur trop élévée à KeepAliveTimeout peut induire des problèmes de performances sur les serveurs fortement chargés. Plus le délai est élévé, plus nombreux seront les processus serveur en attente de requêtes de la part de clients inactifs.

Si la directive KeepAliveTimeout n'est pas définie pour un serveur virtuel à base de nom, c'est la valeur de la paire adresse IP/port du serveur virtuel qui correspond le mieux qui sera utilisée.

Directive <Limit>

Les contrôles d'accès s'appliquent normalement à toutes les méthodes d'accès, et c'est en général le comportement souhaité. Dans le cas général, les directives de contrôle d'accès n'ont pas à être placées dans une section <Limit>.

La directive <Limit> a pour but de limiter les effets des contrôles d'accès aux méthodes HTTP spécifiées. Pour toutes les autres méthodes, les restrictions d'accès contenues dans la section <Limit> n'auront aucun effet. L'exemple suivant n'applique les contrôles d'accès qu'aux méthodes POST, PUT, et DELETE, en laissant les autres méthodes sans protection :

<Limit POST PUT DELETE>
  Require valid-user
</Limit>

La liste des noms de méthodes peut contenir une ou plusieurs valeurs parmi les suivantes : GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, et UNLOCK. Le nom de méthode est sensible à la casse. Si la valeur GET est présente, les requêtes HEAD seront aussi concernées. La méthode TRACE ne peut pas être limitée (voir la directive TraceEnable).

Les directives <Limit> et <LimitExcept> peuvent être imbriquées. Dans ce cas, pour chaque niveau des directives <Limit> ou <LimitExcept>, ces dernières doivent restreindre l'accès pour les méthodes auxquelles les contrôles d'accès s'appliquent.

Par exemple, avec la configuration suivante, tous les utilisateurs seront autorisés à effectuer des requêtes POST, et la directive Require group editors sera ignorée dans tous les cas :

<LimitExcept GET>
  Require valid-user
</LimitExcept>
<Limit POST>
  Require group editors
</Limit>

Directive <LimitExcept>

<LimitExcept> et </LimitExcept> permettent de regrouper des directives de contrôle d'accès qui s'appliqueront à toutes les méthodes d'accès HTTP qui ne font pas partie de la liste des arguments ; en d'autres termes, elles ont un comportement opposé à celui de la section <Limit>, et on peut les utiliser pour contrôler aussi bien les méthodes standards que les méthodes non standards ou non reconnues. Voir la documentation de la section <Limit> pour plus de détails.

Par exemple :

<LimitExcept POST GET>
  Require valid-user
</LimitExcept>

Directive LimitInternalRecursion

Une redirection interne survient, par exemple, quand on utilise la directive Action qui redirige en interne la requête d'origine vers un script CGI. Une sous-requête est le mécanisme qu'utilise Apache httpd pour déterminer ce qui se passerait pour un URI s'il faisait l'objet d'une requête. Par exemple, mod_dir utilise les sous-requêtes pour rechercher les fichiers listés dans la directive DirectoryIndex.

La directive LimitInternalRecursion permet d'éviter un crash du serveur dû à un bouclage infini de redirections internes ou de sous-requêtes. De tels bouclages sont dus en général à des erreurs de configuration.

La directive accepte, comme arguments, deux limites qui sont évaluées à chaque requête. Le premier nombre est le nombre maximum de redirections internes qui peuvent se succéder. Le second nombre détermine la profondeur d'imbrication maximum des sous-requêtes. Si vous ne spécifiez qu'un seul nombre, il sera affecté aux deux limites.

LimitInternalRecursion 5

Directive LimitRequestBody

Cette directive spécifie la taille maximale autorisée pour le corps d'une requête ; la valeur de l'argument octets va de 0 (pour une taille illimitée), à 2147483647 (2Go). Voir la note ci-dessous pour la limite d'applicabilité aux requêtes mandatées.

La directive LimitRequestBody permet de définir une limite pour la taille maximale autorisée du corps d'une requête HTTP en tenant compte du contexte dans lequel la directive a été placée (c'est à dire au niveau du serveur, d'un répertoire, d'un fichier ou d'une localisation). Si la requête du client dépasse cette limite, le serveur répondra par un message d'erreur et ne traitera pas la requête. La taille du corps d'une requête normale va varier de manière importante en fonction de la nature de la ressource et des méthodes autorisées pour cette dernière. Les scripts CGI utilisent souvent le corps du message pour extraire les informations d'un formulaire. Les implémentations de la méthode PUT nécessitent une valeur au moins aussi élevée que la taille maximale des représentations que le serveur désire a