我已经听过很多次了:“在您的网络服务器中的每个文件夹上创建一个 index.php,以确保用户不会看到文件夹中的文件列表”
真的吗?我需要一些好的安全实践。
问问题
5264 次
6 回答
3
你可以这样做,但你可以.htaccess像这样简单地阻止它。
防止使用 .htaccess 列出目录
Options -Indexes
于 2012-10-16T21:26:52.877 回答
1
我认为这是一个很好的做法。它可以防止用户深入了解您的整个目录结构 - 因此,如果他们正在寻找漏洞,他们的工作会更加困难。
于 2012-10-16T21:25:51.100 回答
1
简短的回答:没有。
长答案:是的。
拥有默认文档可能确实会阻止输出目录列表,但是:
- 您可以通过其他方式阻止目录列表(.htaccess,服务器配置)
- 如果他们猜测文件名,仍然可以找到文件。
- 您可以将所有文件放在文档根目录之外,并且只有一个脚本可以路由所有 url。因此,没有什么可以列出的。
因此,尽管您是对的,但很容易忘记目录,并且创建所有这些文件需要做很多工作。并且它只保护您不被列出,并且仅当 index.html 确实是默认文档名称时(再次:服务器配置)。它不会阻止对您的脚本的任何直接访问,因此请使用更适当的安全性。
于 2012-10-16T21:27:15.413 回答
1
在Apache HTTPd .htaccess中使用:
Options -Indexes
并在Microsoft IIS web.config中使用:
<configuration>
<system.webServer>
<directoryBrowse enabled="false" /><!-- THIS -->
</system.webServer>
</configuration>
问候。每个网络服务器都有自己的方式,但要避免文件夹中的 index.html。为此使用网络服务器功能更安全、更高效。
于 2012-10-16T21:47:59.717 回答
0
从您的服务器配置文件中禁用目录列表不是更好的解决方案吗?你的想法对我来说听起来像是一个黑客..
于 2012-10-16T21:27:24.377 回答
0
您可以通过将以下行添加到 public_html 文件夹中的 .htaccess 文件来禁用目录列表,而不是将索引文件放在每个文件夹中:
Options -Indexes
于 2012-10-16T21:29:18.107 回答