{"id":1723,"date":"2022-10-15T14:00:40","date_gmt":"2022-10-15T12:00:40","guid":{"rendered":"https:\/\/jagullo.fr\/blog\/?p=1723"},"modified":"2022-10-15T17:17:42","modified_gmt":"2022-10-15T15:17:42","slug":"creer-un-fichier-htaccess-sur-apache","status":"publish","type":"post","link":"https:\/\/jagullo.fr\/blog\/creer-un-fichier-htaccess-sur-apache\/","title":{"rendered":"Cr\u00e9er un fichier .htaccess sur Apache"},"content":{"rendered":"\n

Le fichier .htaccess qu\u00e9saco ?<\/h2>\n\n\n\n

Le .htaccess est un fichier texte de configuration pour param\u00e9trer un serveur web<\/strong> sous Apache afin d’appliquer certaines optimisations pour un site web plus rapide et une meilleure s\u00e9curit\u00e9. Il peut se situer \u00e0 la racine de l’espace web ou dans n’importe quel autre dossier. Les directives indiqu\u00e9es s’appliqueront au dossier et aux sous-dossiers dans lequel il se trouve. Il permet de r\u00e9aliser des optimisations, des redirections <\/strong>ou de s\u00e9curiser <\/strong>l’acc\u00e8s \u00e0 certains fichiers et r\u00e9pertoires. Il peut modifier le comportement par d\u00e9faut du fichier httpd.conf et du php.ini selon les h\u00e9bergeurs. Il est pr\u00e9f\u00e9rable d’utiliser directement les fichiers de configuration du serveur, mais dans certains cas, comme sur un h\u00e9bergement web mutualis\u00e9, il n’est pas possible d’y acc\u00e9der.<\/p>\n\n\n\n

Ce fichier de configuration est exclusivement utilis\u00e9 sur un serveur web Apache<\/strong>. Il n’est donc pas possible de l’int\u00e9grer sur un serveur Nginx ou Node.js par exemple cela ne fonctionnera pas. La documentation<\/a> renseigne sur son utilisation et les diff\u00e9rentes directives qu’on peut lui appliquer. Il faut faire attention \u00e0 ne jamais le modifier directement sur un site web en production sans l’avoir pr\u00e9alablement bien test\u00e9. Une mauvaise configuration peut entra\u00eener une 500 Internal Server Error<\/strong> rendant un site indisponible. V\u00e9rifier en local ou sur un serveur de pr\u00e9prod le bon fonctionnement du .htaccess avant de l’uploader dans le r\u00e9pertoire racine de son un site web.<\/p>\n\n\n\n

\"\"
Modifier la configuration d’un serveur web avec le fichier .htaccess<\/figcaption><\/figure>\n\n\n\n

Les conteneurs de section<\/h2>\n\n\n\n

Les directives indiqu\u00e9es dans un fichier .htaccess peuvent s’appliquer selon des conditions. Ces conteneurs de sections de configuration sont de plusieurs types. Le ifDefine<\/strong> s’applique que sur les constantes utilis\u00e9es lors du d\u00e9marrage du serveur par la ligne de commande. Le ifModule<\/strong>, comme dans l’exemple ci-dessous, s’applique que si le module est disponible. Il existe aussi la condition ifVersion<\/strong> d\u00e9pendant de la version du serveur.<\/p>\n\n\n\n

<ifModule mod_headers.c>\n  Header always set X-FRAME-OPTIONS \"SAMEORIGIN\"\n  ...\n<\/ifModule><\/code><\/pre>\n\n\n\n
Les conteneurs de syst\u00e8me de fichier quant \u00e0 eux appliqueront les directives renseign\u00e9es seulement dans le r\u00e9pertoire ou le fichier indiqu\u00e9. On retrouve les conteneurs Directory<\/strong> ou Files<\/strong> par exemple qui permettent de cibler seulement le r\u00e9pertoire ou le fichier sur le serveur. Il existe d’autres conteneurs sur la documentation des sections<\/a>.<\/p>\n\n\n\n
<Directory \"\/var\/www\/inc\">\n  Options +Indexes\n  ...\n<\/Directory>\n\n<Files .htaccess>\n  order allow,deny\n  deny from all\n<\/Files><\/code><\/pre>\n\n\n\n
S\u00e9curiser les en-t\u00eates des requ\u00eates<\/h2>\n\n\n\n
La s\u00e9curisation des <\/strong>en-t\u00eates <\/strong>permet en 3 lignes de s\u00e9curiser son site sur plusieurs failles de s\u00e9curit\u00e9. La directive X-FRAME-OPTIONS<\/strong> va emp\u00eacher un site malveillant d’afficher un autre site dans une iframe, X-XSS-Protection<\/strong> permet de se pr\u00e9munir des attaques XSS et X-Content-Type-Options<\/strong> s\u00e9curise contre le MIME sniffing.<\/p>\n\n\n\n
<ifModule mod_headers.c>\n  Header always set X-FRAME-OPTIONS \"SAMEORIGIN\"\n  Header always set X-XSS-Protection \"1; mode=block\"\n  Header always set X-Content-Type-Options \"nosniff\"\n<\/ifModule><\/code><\/pre>\n\n\n\n
Optimiser le cache du navigateur<\/h2>\n\n\n\n
Pour optimiser le cache des assets d’un site Internet pour les navigateurs, il est possible d’op\u00e9rer sur l’en-t\u00eate des requ\u00eates avec le Cache-Control<\/strong> et sur l’expiration avec la directive ExpiresByType<\/strong>. En dessous du d\u00e9lai indiqu\u00e9 via max-age<\/strong> et access plus<\/strong>, toute requ\u00eate d’un navigateur va utiliser les assets au niveau du cache au lieu de les ret\u00e9l\u00e9charger du serveur. Cela va servir surtout pour les visiteurs qui naviguent sur plusieurs pages du site ou ceux qui reviennent apr\u00e8s un certain d\u00e9lai.<\/p>\n\n\n\n
<ifModule mod_headers.c>\n  <filesmatch \"\\\\.(ico|jpe?g|png|gif|swf|gz|ttf|woff|woff2)$\">\n    Header set Cache-Control \"max-age=31536000, public\"\n  <\/filesmatch>\n  <filesmatch \"\\\\.(css|js)$\">\n    Header set Cache-Control \"max-age=14400, private\"\n  <\/filesmatch>\n  <filesmatch \"\\.(pl|php|cgi|spl|scgi|fcgi)$\">\n    Header unset Cache-Control\n  <\/filesmatch>\n<\/ifModule>\n\n<ifModule mod_expires.c>\n  ExpiresActive On\n  ExpiresDefault \"access plus 7200 seconds\"\n  ExpiresByType image\/jpeg \"access plus 31536000 seconds\"\n  ExpiresByType image\/png \"access plus 31536000 seconds\"\n  ExpiresByType image\/gif \"access plus 31536000 seconds\"\n  ExpiresByType image\/ico \"access plus 31536000 seconds\"\n  ExpiresByType image\/icon \"access plus 31536000 seconds\"\n  ExpiresByType image\/x-icon \"access plus 31536000 seconds\"\n  ExpiresByType image\/svg+xml \"access plus 31536000 seconds\"\n  ExpiresByType image\/vnd.microsoft.icon \"access plus 31536000 seconds\"\n  ExpiresByType text\/css \"access plus 14400 seconds\"\n  ExpiresByType text\/javascript \"access plus 14400 seconds\"\n  ExpiresByType text\/html \"access plus 7200 seconds\"\n  ExpiresByType text\/xml \"access plus 31536000 seconds\"\n  ExpiresByType application\/xhtml+xml \"access plus 14400 seconds\"\n  ExpiresByType application\/javascript \"access plus 14400 seconds\"\n  ExpiresByType application\/x-javascript \"access plus 31536000 seconds\"\n  ExpiresByType application\/x-shockwave-flash \"access plus 31536000 seconds\"\n  ExpiresByType video\/x-flv \"access plus 31536000 seconds\"\n<\/ifModule><\/code><\/pre>\n\n\n\n
Compresser les requ\u00eates<\/h2>\n\n\n\n
Il est possible de compresser certaines donn\u00e9es renvoy\u00e9es par le serveur avec les formats gzip<\/strong> et zlib<\/strong>. Pour cela il faut que les modules mod_gzip<\/strong> et mod_deflate<\/strong> soient install\u00e9s sur le serveur web. Les \u00e9l\u00e9ments \u00e0 compresser concernent surtout la sortie HTML ainsi que les images et les assets CSS et JavaScript pour qu’ils soient un peu plus l\u00e9gers \u00e0 t\u00e9l\u00e9charger.<\/p>\n\n\n\n
<ifModule mod_gzip.c>\n  mod_gzip_on Yes\n  mod_gzip_dechunk Yes\n  mod_gzip_item_include file \\.(html?|txt|css|js|php|pl)$\n  mod_gzip_item_include handler ^cgi-script$\n  mod_gzip_item_include mime ^text\/.*\n  mod_gzip_item_include mime ^application\/x-javascript.*\n  mod_gzip_item_exclude mime ^image\/.*\n  mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*\n<\/ifModule>\n\n<IfModule mod_deflate.c>\n  SetOutputFilter DEFLATE\n  AddOutputFilterByType DEFLATE text\/html text\/xml application\/xhtml+xml text\/plain text\/css text\/javascript application\/javascript\n  SetEnvIfNoCase Request_URI \\.(zip|rar|pdf|mp4|wmv)$ no-gzip Vary Accept-Encoding\n<\/IfModule><\/code><\/pre>\n\n\n\n
 Autres fonctionnalit\u00e9s du .htaccess<\/h2>\n\n\n\n
Il existe d’autres fonctionnalit\u00e9s que l’on peut faire \u00e0 partir d’un fichier .htaccess pour modifier la configuration par d\u00e9faut d’Apache. Par exemple, on peut r\u00e9aliser des redirections avec le module mod_rewrite<\/strong> ou bien personnaliser les messages d’erreur avec la directive ErrorDocument<\/strong>. Il est possible de modifier le fichier d’index par d\u00e9faut d’un r\u00e9pertoire avec la directive DirectoryIndex<\/strong>. Enfin on peut bloquer l’indexation d’un r\u00e9pertoire avec Options -Indexes<\/strong> afin d’emp\u00eacher \u00e0 un visiteur de voir tous les fichiers qui s’y trouvent. Ci-dessous un r\u00e9capitulatif d’un fichier .htaccess \u00e0 mettre dans le r\u00e9pertoire public de son serveur en production pour une bonne configuration au niveau s\u00e9curit\u00e9 et optimisation.<\/p>\n\n\n\n
Options -Indexes\n\n<ifModule mod_headers.c>\n  Header always set X-FRAME-OPTIONS \"SAMEORIGIN\"\n  Header always set X-XSS-Protection \"1; mode=block\"\n  Header always set X-Content-Type-Options \"nosniff\"\n  <filesmatch \"\\\\.(ico|jpe?g|png|gif|swf|gz|ttf|css|woff|woff2)$\">\n    Header set Cache-Control \"max-age=31536000, public\"\n  <\/filesmatch>\n  <filesmatch \"\\\\.(js)$\">\n    Header set Cache-Control \"max-age=2592000, private\"\n  <\/filesmatch>\n  <filesmatch \"\\.(pl|php|cgi|spl|scgi|fcgi)$\">\n    Header unset Cache-Control\n  <\/filesmatch>\n<\/ifModule>\n\n<ifModule mod_expires.c>\n  ExpiresActive On\n  ExpiresDefault \"access plus 7200 seconds\"\n  ExpiresByType image\/jpeg \"access plus 31536000 seconds\"\n  ExpiresByType image\/png \"access plus 31536000 seconds\"\n  ExpiresByType image\/gif \"access plus 31536000 seconds\"\n  ExpiresByType image\/ico \"access plus 31536000 seconds\"\n  ExpiresByType image\/icon \"access plus 31536000 seconds\"\n  ExpiresByType image\/x-icon \"access plus 31536000 seconds\"\n  ExpiresByType image\/svg+xml \"access plus 31536000 seconds\"\n  ExpiresByType image\/vnd.microsoft.icon \"access plus 31536000 seconds\"\n  ExpiresByType text\/css \"access plus 14400 seconds\"\n  ExpiresByType text\/javascript \"access plus 14400 seconds\"\n  ExpiresByType text\/html \"access plus 7200 seconds\"\n  ExpiresByType text\/xml \"access plus 31536000 seconds\"\n  ExpiresByType application\/xhtml+xml \"access plus 14400 seconds\"\n  ExpiresByType application\/javascript \"access plus 14400 seconds\"\n  ExpiresByType application\/x-javascript \"access plus 31536000 seconds\"\n  ExpiresByType application\/x-shockwave-flash \"access plus 31536000 seconds\"\n  ExpiresByType video\/x-flv \"access plus 31536000 seconds\"\n<\/ifModule>\n\n<ifModule mod_gzip.c>\n  mod_gzip_on Yes\n  mod_gzip_dechunk Yes\n  mod_gzip_item_include file \\.(html?|txt|css|js|php|pl)$\n  mod_gzip_item_include handler ^cgi-script$\n  mod_gzip_item_include mime ^text\/.*\n  mod_gzip_item_include mime ^application\/x-javascript.*\n  mod_gzip_item_exclude mime ^image\/.*\n  mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*\n<\/ifModule>\n\n<IfModule mod_deflate.c>\n  SetOutputFilter DEFLATE\n  AddOutputFilterByType DEFLATE text\/html text\/xml application\/xhtml+xml text\/plain text\/css text\/javascript application\/javascript\n  SetEnvIfNoCase Request_URI \\.(zip|rar|pdf|mp4|wmv)$ no-gzip Vary Accept-Encoding\n<\/IfModule>\n\n<Files .htaccess>\n  order allow,deny\n  deny from all\n<\/Files><\/code><\/pre>\n\n\n\n\n