2008年10月12日(日) 01時20分23秒 [Web関連]

さくらインターネットでディレクトリ一覧を表示させずに403 Forbiddenエラーを出す方法

正攻法ではファイル一覧表示を禁止できない

レンタルサーバの「さくらインターネット」では、index.htmlファイルの存在しないディレクトリをブラウザで表示させると、「そのディレクトリ内のファイル一覧」を表示するようになっています。これを防ぐには、一般的にはApacheの設定を修正し、「Options -Indexes」などと記述すれば良いのですが、この方法は「さくらインターネット」では使えません。

「さくらインターネット」では、.htaccessファイルを使うことでApacheの設定をいくつか記述できます。しかし、Optionsディレクティブの使用は禁止されているため、上記の正攻法は使えません。（使うと、Internal Server Errorになってしまいます。）

ダミーのindex.htmlファイルを配置する方法もありますが、それではHTTPヘッダで「403 Forbidden」エラーは返されず、「200 OK」となって正常なページが返されたという扱いになってしまいます。（それに、ダミーのindex.htmlファイルをいちいち用意するのは面倒です。）

そこで、解決策を考えました。

アクセス拒否設定を使って403 Forbiddenエラーを返す方法で代用

「さくらインターネット」で、ディレクトリ内のファイル一覧を表示させずに「403 Forbidden」エラーを返すには、.htaccessファイルに以下のように記述します。（4行）

上記の設定は、次の2つの意味を表しています。

• ディレクトリ名で終わるURLでアクセスされたら 403.html ファイルを返す
• 403.html ファイルへのアクセスを拒否する

「403.html」というファイル名は適当に考えたものなので、「abc.html」とか何でも構いません。ただ、「index.html」と書いてしまうと、本当にindex.htmlファイルを配置したディレクトリに対しても、問答無用で「403 Forbidden」エラーを返してしまうので困ったことになります。ここには、実在しないことが確実に分かっている適当なファイル名を指定しておきましょう。

上記の設定がなされた上で、ディレクトリ名（「/」記号）で終わるURLにアクセスすると、ディレクトリ内のファイル一覧は表示されず、「403 Forbidden」エラーが返されます。

これは実際には、

1. URLが「/」で終わっているので、403.html ファイルの存在を探す
2. 403.html ファイルへのアクセスは拒否されているので、403 Forbiddenエラーを返す

という2段階の処理になっています。
なお、「403.html」というファイルを実際に用意する必要はありません。（用意してもしなくても、403 Forbiddenエラーになります。）

というわけで、この方法なら、まるでOptionsディレクティブを使ってディレクトリ内のファイル一覧表示を無効にしたかのような結果を出すことができます。

なお、アクセス拒否設定については、ついさっきAll Aboutで公開された記事「指定ファイルへのアクセスを拒否する方法」に書いたのでそちらもどうぞ。(^_^;;;