Настройка заголовка Apache с условиями исключения путей/каталогов/ips сервера

Я использую плагин WordPress под названием Duplicator Pro, и лучший способ установки с их установщиками — это использовать IP-адрес сервера, а не домен, потому что таким образом он легче автозаполняет и подключается к серверу, а также не запускает несколько правил ModSecurity.

Лучший URL-адрес для установки:

http://111.222.333.444/~customcpanelaccount/customfolder/installer.php

Вместо:

https://website.com/customfolder/installer.php

Если вы загружаете любой из этих файлов, он автоматически перенаправляет вас на:

/customfolder/dup-installer/main.installer.php

Однако, поскольку сервер имеет следующее правило Apache/LiteSpeed, он автоматически перенаправляет http:// на https://, что приводит к появлению следующего сообщения:

<IfModule mod_headers.c>
    Header always set Content-Security-Policy "upgrade-insecure-requests;"
</IfModule>

Я пытаюсь найти способ сделать указанное выше правило Apache/LiteSpeed ​​применимым только к доменам, а не к прямым IP-адресам ИЛИ сделать так, чтобы оно не срабатывало при использовании файла установщик.php, main.installer.php и каталог /dup-установщик/

Жаль, что нет утверждений типа FilesNotMatch/DirectoryNotMatch/LocationNotMatch.

У кого есть идеи, буду очень признателен за помощь/совет!

Вы можете установить переменную среды (например, ДОМЕН_ЗАПРОШЕН), если запрашивается домен (в отличие от IP-адреса), и установите Заголовок условно на основе того, установлена ​​ли эта env var с помощью окружение = аргумент.

Например:

SetEnvIf Хост "[a-z]" DOMAIN_REQUESTED
Заголовок всегда устанавливает Content-Security-Policy «upgrade-insecure-requests;» env=DOMAIN_REQUESTED

Если Хозяин заголовок содержит символы az, то вы должны запрашивать доменное имя, а не IP-адрес. В этом случае ДОМЕН_ЗАПРОШЕН env var установлен в 1.

Однако...

• Кажется странным, что было бы предпочтительнее установить это по небезопасному HTTP, используя IP-адрес сервера и веб-каталог для каждого пользователя?! Веб-каталоги для каждого пользователя (mod_userdir), как правило, лучше избегать, поскольку они действительно путаются с корневыми URL-путями.

• Если это только для процесса установки, не могли бы вы просто закомментировать это Заголовок директива временно?

Жаль, что нет утверждений типа FilesNotMatch/DirectoryNotMatch/LocationNotMatch.

Ну, вроде как можно использовать отрицательный прогноз (или же смотреть за) в регулярном выражении, чтобы определить, когда совпадение нет происходить.

...ИЛИ сделать так, чтобы он не срабатывал при использовании файла установщик.php, main.installer.php и каталог /dup-установщик/

Content-Security-Policy: небезопасные запросы на обновление; Заголовок ответа HTTP влияет только на связанные ресурсы, но не на навигацию верхнего уровня. Так что это не относится к установщик.php и main.installer.php тем не мение. Если эти запросы выполняются улучшенный (или, что более вероятно, «перенаправлено»), то это делает что-то еще.