Hallo einsiedler,
ich suche eine Möglichkeit in meinem .htaccess HEAD und POST requests zu unterbinden
Ich bin viellecht dumm und naiv, aber wo ist der Zweck? HEAD könnte ich noch verstehen, aber HEAD-Requests schaden eigentlich keinem.
HEAD dient dazu, so zu tun als wär's ein GET, liefert aber nur die Header ohne den Content. Einen HEAD Request auf PHP musst Du im Script behandeln, damit er wie gewünscht stattfindet. Einen HEAD-Request auf andere Ressourcen kann man, wenn Du HEAD abweist, jederzeit durch GET ersetzen. Wenn sich der Client nur für die Header interessiert, liest er nur die ersten Lines, bis zum Content, und bricht den Empfang dann ab. Unterm Strich belastet das nur deinen Server höher.
Einen POST auf HTML-Dateien wird der Server ohnehin ignorieren. Ein POST auf PHP bewirkt nur was, wenn deine Seiten das auch interpretieren und behandeln, andernfalls wirkt der POST wie ein GET.
Und wenn Du POST globalgalaktisch abklemmst, dann funktioniert das hier auch nicht mehr.
<form action="login.php" method="post">
...
</form>
Du müsstest einen GET-Request daraus machen. Und dann steht das Passwort klar lesbar in deinem Brauserverlauf.
Rolf
sumpsi - posui - obstruxi