<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1331582:1379702 (outdated) -->
+<!-- English Revision : 1379702 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<strong>after</strong> après les règles spécifiées dans le niveau
enfant.
</note>
+
</dd>
- </dl>
+
+ <dt><code>AllowAnyURI</code></dt>
+ <dd>
+
+ <p>A partir de la version 2.2.22 de httpd, lorsqu'une directive
+ <directive module="mod_rewrite">RewriteRule</directive> est
+ utilisée dans un contexte de <code>serveur virtuel</code> ou de
+ serveur principal, <module>mod_rewrite</module> ne la traitera que
+ si l'URI de la requête correspond à un <a
+ href="./directive-dict.html#Syntax">chemin d'URL</a>. Ceci permet
+ d'éviter certains problèmes de sécurité où certaines règles
+ peuvent permettre l'expansion de modèles inattendus (voir <a
+ href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3368">CVE-2011-3368</a>
+ et <a
+ href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4317">CVE-2011-4317</a>).
+ Pour lever cette restriction, on peut activer l'option
+ <code>AllowAnyURI</code>, et <module>mod_rewrite</module> va alors
+ appliquer le jeu de règles à tout URI de requête, sans vérifier si
+ la chaîne respecte la grammaire des chemins d'URL définie dans la
+ spécification HTTP.</p>
+
+ <note type="warning">
+ <title>Avertissement en matière de sécurité</title>
+
+ <p>L'activation de cette option expose le serveur à des
+ problèmes de sécurité si les règles de réécriture n'ont pas été
+ rédigées avec soin. Il est donc <strong>fortement
+ recommandé</strong> de ne pas utiliser cette option. En
+ particulier, prenez garde aux chaînes d'entrée contenant le
+ caractère '<code>@</code>' qui peut modifier l'interprétation de
+ l'URI transformé, comme indiqué dans les CVE ci-dessus.</p>
+ </note>
+ </dd>
+
+ </dl>
+
</usage>
</directivesynopsis>
<tr>
<td>Adresse IP de l'hôte distant</td>
<td>192.168.200.166</td></tr>
-<tr><td>Nom de login distant</td><td>en général "-"</td></tr>
+<tr><td>Nom de login didtant</td><td>en général "-"</td></tr>
<tr><td>nom d'authentification de l'utilisateur HTTP</td><td>nom
d'utilisateur, ou "-" si non authentifié</td></tr>
<tr><td>Date et heure de la requête</td><td>[28/Aug/2009:13:09:09 --0400]</td></tr>
<em>Substitution</em> <code>/www/file.html</code>, cette
dernière sera traitée comme un chemin d'URL <em>à moins</em>
qu'un répertoire nommé <code>www</code> n'existe à la racine
- de votre système de fichiers, auquel cas la chaîne de
+ de votre système de fichiers (ou dans le cas d'une
+ réécriture au sein d'un fichier <code>.htaccess</code>,
+ relativement à la racine des documents), auquel cas la chaîne de
substitution sera traitée comme un chemin du système de
fichiers. Si vous désirez que d'autres directives de
correspondance d'URL (comme la directive <directive
projects / thirdparty / apache / httpd.git / commitdiff
