.htaccess 是什么？Apache 配置完整指南

.htaccess 文件是 Apache 服务器可用的最强大的工具之一。无论您需要管理 URL 重定向、强制 HTTPS、按 IP 限制访问或提供自定义错误页面，.htaccess 都能让您在目录级别对服务器的行为进行精细控制 — 无需触及主服务器配置。

在这份全面指南中，我们将涵盖您需要了解的关于 .htaccess 的所有内容：它是什么、它如何工作、如何创建它，以及每个网络管理员应该掌握的最重要的用例。

什么是 .htaccess？

.htaccess 文件 — 是”hypertext access”的缩写 — 是 Apache HTTP 服务器使用的隐藏纯文本配置文件。它允许您在每个目录基础上定义服务器指令，这意味着您放置在 .htaccess 文件中的规则会立即应用于该文件所在文件夹中的所有文件和子目录。

与对主 Apache 配置文件 (httpd.conf) 所做的更改不同，.htaccess 规则立即生效 — 无需重启服务器。这使其特别适用于共享托管环境，其中用户无法访问主服务器配置的 root 权限。

每次用户从您的网站请求资源时，Apache 都会读取相关目录中的 .htaccess 文件并应用配置的规则。这使其既灵活又强大 — 但也是必须谨慎管理的文件。

> 谁使用 .htaccess？ 在基于 Apache 的托管环境中工作的网络开发人员、SEO 专家和系统管理员 — 包括共享网络托管和VPS 托管计划 — 每天都依赖 .htaccess 来控制网站行为。

如何创建 .htaccess 文件

创建 .htaccess 文件很简单，但必须精确遵循几条规则：

1. 使用纯文本编辑器，如 Nano、Vim、Notepad++ 或任何代码编辑器。
2. 精确命名文件 .htaccess — 带有前导句点且没有文件扩展名。文件名本身就是扩展名。
3. 将文件放置在您网站的根目录（通常命名为 public_html、www 或 htdocs）或任何您想应用特定规则的子目录中。
4. 将其保存为纯文本 — 永远不要保存为富文本或格式化文档。
5. 设置正确的文件权限：644 是推荐的权限级别，允许所有者读写，同时限制其他人为只读访问。

在通过 SSH 的 Linux 服务器上，您可以使用以下命令立即创建文件：

nano /var/www/html/public_html/.htaccess

保存后，Apache 将立即开始应用规则。

.htaccess 的常见用途

以下是最重要和最广泛使用的 .htaccess 指令，附带实用代码示例。

1. 重定向 URL

当页面被移动、重命名或永久删除时，重定向是必需的。它们保留 SEO 价值并确保用户被发送到正确的位置。

301 永久重定向（页面已移动）

Redirect 301 /old-page.html https://www.example.com/new-page.html

这会将用户和搜索引擎爬虫从旧 URL 发送到新 URL，在此过程中传递完整的链接权益。

302 临时重定向

Redirect 302 /sale https://www.example.com/seasonal-offers.html

当重定向是临时的时，使用 302，例如在促销或维护期间。

重定向整个域

RewriteEngine On
RewriteCond %{HTTP_HOST} ^olddomain.com$ [NC]
RewriteRule ^(.*)$ https://www.newdomain.com/$1 [L,R=301]

这在域迁移期间特别有用 — 这是通过域名注册服务注册新域名时的常见场景。

2. URL 重写以获得 SEO 友好的 URL

URL 重写将动态的、参数繁重的 URL 转换为干净、可读且 SEO 友好的结构。这是使用 .htaccess 改进搜索引擎排名的最具影响力的用途之一。

启用重写引擎

RewriteEngine On

此行必须出现在任何 RewriteRule 指令之前。

将动态 URL 重写为干净 URL

RewriteRule ^products/([a-zA-Z0-9-]+)$ product.php?item=$1 [L]

这会将 product.php?id=123 重写为 product/123 — 透明地，不改变用户在浏览器中看到的内容。

从 URL 中删除 .php 扩展名

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^([^.]+)$ $1.php [NC,L]

这允许 example.com/about 之类的 URL 提供 about.php，而不暴露文件扩展名。

3. 强制 HTTPS

强制所有流量通过 HTTPS 是基本的安全要求，也是确认的 Google 排名信号。如果您安装了SSL 证书，请使用以下 .htaccess 规则确保所有 HTTP 流量自动重定向到您网站的安全版本。

强制全站 HTTPS

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

强制 HTTPS 并删除 www（规范 URL）

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www. [NC]
RewriteRule ^(.*)$ https://example.com/$1 [L,R=301]

这确保您的网站始终从单个规范 HTTPS URL 提供 — 对 SEO 和安全性都至关重要。

4. 设置自定义错误页面

您可以配置 .htaccess 来提供品牌化、用户友好的错误页面，而不是显示通用浏览器错误消息，这样可以让访问者留在您的网站上。

常见 HTTP 错误代码

ErrorDocument 400 /errors/400.html
ErrorDocument 401 /errors/401.html
ErrorDocument 403 /errors/403.html
ErrorDocument 404 /errors/404.html
ErrorDocument 500 /errors/500.html

自定义错误页面的最佳实践：

• 包含您网站的导航，以便用户可以找到他们要找的内容。
• 添加搜索栏以帮助用户从 404 错误中恢复。
• 保持设计与您的主网站品牌一致。
• 避免重定向循环 — 错误页面应该是静态 HTML 文件。

5. 按 IP 地址限制访问

.htaccess 让您可以根据 IP 地址对谁可以访问您的网站或特定目录进行细粒度控制。这对于保护管理面板、暂存环境或敏感目录非常有价值。

阻止特定 IP 地址

Deny from 192.168.1.100

阻止多个 IP 地址

Deny from 192.168.1.100
Deny from 10.0.0.50
Deny from 203.0.113.0/24

仅允许特定 IP（白名单）

Order Deny,Allow
Deny from all
Allow from 192.168.1.101
Allow from 203.0.113.25

此配置阻止除明确列出的 IP 地址外的所有流量 — 非常适合锁定 WordPress 管理面板或暂存网站。

6. 密码保护目录

您可以使用 .htaccess 结合 .htpasswd 文件向任何目录添加 HTTP 基本身份验证。

步骤 1：创建 .htpasswd 文件

在您的服务器上使用 htpasswd 实用程序：

htpasswd -c /etc/apache2/.htpasswd yourusername

步骤 2：将以下内容添加到您的 .htaccess 文件

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user

任何尝试访问受保护目录的人都会被提示输入用户名和密码才能进入。

7. 控制浏览器缓存

正确配置的缓存可以改进页面加载速度并减少服务器负载 — 这两者对 SEO 和用户体验都很重要。

设置缓存过期标头

<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType image/jpg "access plus 1 year"
    ExpiresByType image/jpeg "access plus 1 year"
    ExpiresByType image/png "access plus 1 year"
    ExpiresByType image/gif "access plus 1 year"
    ExpiresByType image/webp "access plus 1 year"
    ExpiresByType text/css "access plus 1 month"
    ExpiresByType application/javascript "access plus 1 month"
    ExpiresByType text/html "access plus 1 day"
</IfModule>

8. 阻止盗链

盗链发生在其他网站直接嵌入您的图像时，会消耗您的带宽而无需您的许可。使用 .htaccess 阻止它：

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www.)?example.com/ [NC]
RewriteRule .(jpg|jpeg|png|gif|webp|svg)$ - [F,NC]

将 yourdomain.com 替换为您的实际域。这会向任何尝试盗链您的图像的外部网站返回 403 Forbidden 响应。

9. 禁用目录列表

默认情况下，如果不存在索引文件，Apache 可能会显示目录的内容。这是一个重大安全风险，会暴露您的文件结构。

禁用目录浏览

Options -Indexes

这一行防止 Apache 生成自动目录列表，而是返回 403 Forbidden 错误。

安全和性能考虑

虽然 .htaccess 非常强大，但必须负责任地使用。以下是每个管理员应该记住的关键考虑事项：

性能影响

Apache 在每个单一请求时都会读取 .htaccess 文件。如果您的 .htaccess 文件包含数十条复杂规则，这会给每个请求增加可测量的开销。要最小化性能影响：

• 保持规则精简且组织良好 — 删除任何不再需要的规则。
• 仅在必要时使用 .htaccess — 仅将其放置在需要特定规则的目录中。
• 考虑将规则移至 httpd.conf — 在您拥有 root 访问权限的VPS 托管或专用服务器上，将规则直接放在主 Apache 配置中要快得多，因为它仅在启动时读取一次。

文件权限

始终将 .htaccess 文件权限设置为 644：

chmod 644 /var/www/html/public_html/.htaccess

这防止未授权用户修改文件，同时允许 Apache 读取它。

保护 .htaccess 文件本身

防止从网络直接访问您的 .htaccess 文件：

<Files ".htaccess">
    Order Allow,Deny
    Deny from all
</Files>

.htaccess 规则的测试和故障排除

不正确的 .htaccess 语法是导致 500 Internal Server Error 响应的最常见原因之一。遵循这些最佳实践可以高效地调试问题：

一次进行一项更改

永远不要同时进行多项更改。应用一条规则，测试它，然后继续下一条。这样可以轻松识别哪条规则导致了问题。

检查 Apache 错误日志

Apache 错误日志是您的主要诊断工具：

# Ubuntu/Debian
tail -f /var/log/apache2/error.log

# CentOS/RHEL
tail -f /var/log/httpd/error_log

临时注释掉规则

使用 # 字符注释掉您想禁用的规则而不删除它们：

# RewriteRule ^old-page$ /new-page [R=301,L]

使用 curl 测试重定向

使用 curl 从命令行验证重定向行为：

curl -I http://www.example.com/old-page.html

这会返回 HTTP 标头，包括重定向的 Location 标头，而不加载完整页面。

使用在线 .htaccess 测试工具

有几个免费的在线工具允许您在部署到实时服务器之前针对示例 URL 测试 .htaccess 重写规则。

不同托管环境中的 .htaccess

.htaccess 的可用性和行为取决于您的托管环境：

如果您在带有 cPanel 的 VPS 上，您可以直接通过 cPanel 界面管理许多 .htaccess 功能，包括重定向、盗链保护和目录隐私 — 无需手动编辑文件。

关于 .htaccess 的常见问题

.htaccess 在 Nginx 上工作吗？

不。.htaccess 是 Apache HTTP 服务器独有的。Nginx 使用不同的配置模型，其中所有规则都在服务器块配置文件中定义。如果您从 Apache 迁移到 Nginx，您需要将 .htaccess 规则转换为 Nginx server 块语法。

我可以有多个 .htaccess 文件吗？

是的。您可以在任何目录中放置 .htaccess 文件。Apache 按层次结构处理它们 — 子目录的 .htaccess 文件中的规则可以覆盖或补充来自父目录的规则。

.htaccess 更改会立即生效吗？

是的。与对 httpd.conf 的更改不同，.htaccess 更改会立即生效，无需重启 Apache。

如果 .htaccess 有语法错误会发生什么？

Apache 将为受影响目录的任何请求返回 500 Internal Server Error。始终在进行更改前备份您的 .htaccess 文件。

结论

.htaccess 文件是任何网络管理员工具包中不可或缺的工具。从强制 HTTPS 和创建 SEO 友好的