htaccess dans media fonctionnel avec php module apache ou fastCGI, htaccess dans les dossiers des images

4 files changed, 91 insertions, 3 deletions

diff --git a/public/user_data/assets/.htaccess b/public/user_data/assets/.htaccess
new file mode 100644
index 0000000..6055667
--- /dev/null
+++ b/public/user_data/assets/.htaccess
@@ -0,0 +1,24 @@
+# désactive tout traitement par le handler apache (PHP, CGI, etc.)
+SetHandler None
+
+# scripts CGI (perl, python)
+# complète le blocage du handler apache
+Options -ExecCGI
+# (php qui utilise mod_php (module apache) ou php-fpm (fastCGI) n'est pas concerné par cette règle)
+
+# exploration des dossiers
+Options -Indexes
+
+# protection par whitelist
+Require all denied
+<FilesMatch "\.(jpe?g|png|gif|webp|tiff?)$">
+    Require all granted
+</FilesMatch>
+
+
+## moins utile
+
+# interdire l'accès direct aux fichiers .htaccess et .htpasswd (déjà bloqués normallement)
+<FilesMatch "^\.(htaccess|htpasswd)$">
+    Require all denied
+</FilesMatch>
\ No newline at end of file
diff --git a/public/user_data/images-mini/.htaccess b/public/user_data/images-mini/.htaccess
new file mode 100644
index 0000000..6055667
--- /dev/null
+++ b/public/user_data/images-mini/.htaccess
@@ -0,0 +1,24 @@
+# désactive tout traitement par le handler apache (PHP, CGI, etc.)
+SetHandler None
+
+# scripts CGI (perl, python)
+# complète le blocage du handler apache
+Options -ExecCGI
+# (php qui utilise mod_php (module apache) ou php-fpm (fastCGI) n'est pas concerné par cette règle)
+
+# exploration des dossiers
+Options -Indexes
+
+# protection par whitelist
+Require all denied
+<FilesMatch "\.(jpe?g|png|gif|webp|tiff?)$">
+    Require all granted
+</FilesMatch>
+
+
+## moins utile
+
+# interdire l'accès direct aux fichiers .htaccess et .htpasswd (déjà bloqués normallement)
+<FilesMatch "^\.(htaccess|htpasswd)$">
+    Require all denied
+</FilesMatch>
\ No newline at end of file
diff --git a/public/user_data/images/.htaccess b/public/user_data/images/.htaccess
new file mode 100644
index 0000000..6055667
--- /dev/null
+++ b/public/user_data/images/.htaccess
@@ -0,0 +1,24 @@
+# désactive tout traitement par le handler apache (PHP, CGI, etc.)
+SetHandler None
+
+# scripts CGI (perl, python)
+# complète le blocage du handler apache
+Options -ExecCGI
+# (php qui utilise mod_php (module apache) ou php-fpm (fastCGI) n'est pas concerné par cette règle)
+
+# exploration des dossiers
+Options -Indexes
+
+# protection par whitelist
+Require all denied
+<FilesMatch "\.(jpe?g|png|gif|webp|tiff?)$">
+    Require all granted
+</FilesMatch>
+
+
+## moins utile
+
+# interdire l'accès direct aux fichiers .htaccess et .htpasswd (déjà bloqués normallement)
+<FilesMatch "^\.(htaccess|htpasswd)$">
+    Require all denied
+</FilesMatch>
\ No newline at end of file
diff --git a/public/user_data/media/.htaccess b/public/user_data/media/.htaccess
index 4494297..41f632b 100644
--- a/public/user_data/media/.htaccess
+++ b/public/user_data/media/.htaccess
@@ -1,10 +1,26 @@
-# désactiver l'interpréteur PHP
-php_flag engine off
+# désactive tout traitement par le handler apache (PHP, CGI, etc.)
+SetHandler None
+
+# scripts CGI (perl, python)
+# complète le blocage du handler apache
+Options -ExecCGI
+# (php qui utilise mod_php (module apache) ou php-fpm (fastCGI) n'est pas concerné par cette règle)
 
 # exploration des dossiers
 Options -Indexes
 
-# interdire l'accès directaux fichiers .htaccess et .htpasswd
+
+## moins utile
+
+# interdire l'accès direct aux fichiers .htaccess et .htpasswd (déjà bloqués normallement)
 <FilesMatch "^\.(htaccess|htpasswd)$">
     Require all denied
 </FilesMatch>
+
+# supprime des associations extension/handler
+RemoveHandler .php .phtml .php3 .php4 .php5 .php7 .php8 .phar
+
+# fichiers php non accessibles (en plus d'être non exécutables)
+<FilesMatch "\.(php|phtml|php[0-9]|phar)$">
+    Require all denied
+</FilesMatch>
\ No newline at end of file