Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在为一个网站创建一个新设计,并且有一个旧的 CGI 脚本,它会向我们的服务器发送一封电子邮件。由于隐私问题,我无法在此处发布代码,但问题将在一秒钟内清楚。
此 CGI 脚本采用一些模板,然后重定向到“thanks.htm”页面。但是在这样做的同时,它使用的是绝对路径。
现在的问题是:使用绝对路径是否安全?我的意思是,是否可以读出 CGI 脚本以获取有关服务器架构的信息?
提前致谢, 问候 Thunderhook
您没有提到哪个平台或网络服务器,但无论如何,正确配置的网络服务器不应该能够提供可读的 cgi 脚本。我认为在安全的环境中,cgi-bin 目录应该位于可访问的网络空间之外。
恕我直言,使用绝对路径的问题与其说是安全问题,不如说是可扩展性问题。如果它是我的应用程序,我会将操作系统环境变量设置为文档根目录,然后使用该变量构建绝对路径。这是否提供了一些额外的安全性?也许 - 因为您对文件结构侦察的担忧有所减轻。但它确实使重新配置应用程序或将其移植到新的服务器/位置更容易。