Istnieje możliwość utworzenia listy szablonów adresów URL, które aktywują zabezpieczenia poprzez powiązanie każdego szablonu z konfiguracją zabezpieczeń. Kiedy serwer odbiera żądanie, porównuje je z szablonami na tej liście. Porównywanie rozpoczyna się od pierwszego szablonu na liście i jest kontynuowane dla kolejnych pozycji na liście do momentu znalezienia zgodnego szablonu lub osiągnięcia końca listy. W przypadku znalezienia zgodnego szablonu serwer aktywuje zabezpieczenia zgodnie z definicją w konfiguracji zabezpieczeń, która jest powiązana z tym szablonem.
Żądanie to część pełnego adresu URL, która następuje po nazwie hosta serwera. Kiedy serwer odbiera żądanie, wykonuje sprawdzanie, czy aktywuje ono zabezpieczenia. Serwer stosuje następnie reguły odwzorowywania w celu odwzorowania żądania na określony plik. Żądanie aktywujące zabezpieczenia powinno być także obejmowane przez regułę Przekaż lub Wykonaj w regułach odwzorowywania.
Konfiguracja zabezpieczeń, która zostaje powiązana z szablonem żądania adresu URL, definiuje sposób kontrolowania dostępu do zabezpieczonych plików. Konfiguracje zabezpieczeń można definiować jako wstawiane (jako część definicji zabezpieczeń dokumentu) lub w oddzielnej konfiguracji zabezpieczeń o określonej nazwie. Konfiguracja zabezpieczeń, która została zdefiniowana jako wstawiana, może zostać użyta tylko dla określonego szablonu żądania adresu URL. Konfiguracja zabezpieczeń o określonej nazwie może być używana dla wielu szablonów żądań adresu URL poprzez podanie jej nazwy.
Poszczególne reguły zabezpieczeń dla żądania można aktywować na podstawie hosta, dla którego utworzono żądanie.
Na przykład istnieje możliwość określenia, że żądanie rozpoczynające się od łańcucha /cgi-bin/*, które odebrano dla hosta hostA, zostanie zabezpieczone przez reguły w konfiguracji zabezpieczeń o nazwie PROT-A, natomiast to samo żądanie odebrane dla hosta hostB zostanie zabezpieczone przez reguły w konfiguracji zabezpieczeń o nazwie PROT-B.