AllowOverride controla qué diectivas se pueden situar el los ficheros .htaccess.
Los valores de AllowOverride pueden ser "All", "None", o una combinación de:
AuthConfig: Permitir el uso de directivas de autorización (AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, AuthType, AuthUserFile, Require, etc.).
FileInfo Permitir el uso de directivas de control de tipo de documentos (DefaultType, ErrorDocument, ForceType, LanguagePriority, SetHandler, SetInputFilter, SetOutputFilter, etc).
Indexes Permitir el uso de directivas que controlan los índices de directorios (AddDescription, AddIcon, AddIconByEncoding, AddIconByType, DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOptions, ReadmeName, etc.).
Limit Permitir el uso de directivas de acceso de hosts (Allow, Deny y Order).
Options Permitir el uso los valores de la directiva Options.
Por ejemplo:
Options FileInfo AuthConfig Limit
o bien
AllowOverride None
Hay que tener en cuenta que si AllowOverride tiene un valor distinto a "None", el servidor web tendrá que buscar este fichero en todos los directorios que haya hasta llegar al fichero o directorio solicitado para aplicar la confiuración. Esto puede influir en el rendimiento del servidor web. Por este motivo es aconsejable poner de forma global
AllowOverride None
y después activarlo en el directorio concreto que queramos que tenga una configuración específica.
Si permtimos a otros usuario poner documentos en el servidor web deberemos controlar la directiva AllowOverride para determinar qué configuraciones permitimos que el usuario incluya en los ficheros .htaccess para evitar problemas de seguridad. Por ejemplo, la opción FollowSymLinks permite poner enlaces simbólicos en el servidor web para acceder a ficheros externos al árbol web (especificado mediante la directiva DocumentRoot. Normalmente para aumentar el rendimiento del servidor tendremos esta directiva activa para evitar que el servidor tenga que comprbar si un fichero o directorio es un enlace simbólico antes de leerlo; pero si esta directiva está activa un usuario podría poner un enlace, por ejemplo, al fichero /etc/passwd y hacerlo público a través de la web, cosa nada aconsajeble.