# 禁止通过 HTTP 访问 data 目录中的所有文件（JSON 数据、admin 配置等）
# 仅允许 PHP 内部读取
<IfModule mod_authz_core.c>
    Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
    Order deny,allow
    Deny from all
</IfModule>

# 仅允许图片文件被访问（头像、背景图、消息附图）
<FilesMatch "\.(png|jpg|jpeg|gif|webp)$">
    <IfModule mod_authz_core.c>
        Require all granted
    </IfModule>
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Allow from all
    </IfModule>
</FilesMatch>

# 消息图片目录额外安全：禁止执行 PHP
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^msg_images/.*\.ph(p|tml|ps)$ - [F,L]
</IfModule>
