doc/todo/enable-htaccess-files.mdwn

   1     Index: IkiWiki.pm
   2     ===================================================================
   3     --- IkiWiki.pm  (revision 2981)
   4     +++ IkiWiki.pm  (working copy)
   5     @@ -26,7 +26,7 @@
   6      memoize("file_pruned");
   7
   8      sub defaultconfig () { #{{{
   9     -       wiki_file_prune_regexps => [qr/\.\./, qr/^\./, qr/\/\./,
  10     +       wiki_file_prune_regexps => [qr/\.\./, qr/^\.(?!htaccess)/, qr/\/\.(?!htaccess)/,
  11                     qr/\.x?html?$/, qr/\.ikiwiki-new$/,
  12                     qr/(^|\/).svn\//, qr/.arch-ids\//, qr/{arch}\//],
  13            wiki_link_regexp => qr/\[\[(?:([^\]\|]+)\|)?([^\s\]#]+)(?:#([^\s\]]+))?\]\]/,
  14
  15 [[tag patch]]
  16
  17 This lets the site administrator have a `.htaccess` file in their underlay
  18 directory, say, then get it copied over when the wiki is built. Without
  19 this, installations that are located at the root of a domain don't get the
  20 benefit of `.htaccess` such as improved directory listings, IP blocking,
  21 URL rewriting, authorisation, etc.
  22
  23 > I'm concerned about security ramifications of this patch. While ikiwiki
  24 > won't allow editing such a .htaccess file in the web interface, it would
  25 > be possible for a user who has svn commit access to the wiki to use it to
  26 > add a .htaccess file that does $EVIL.
  27 >
  28 > Perhaps this should be something that is configurable via the setup file
  29 > instead. --[[Joey]]