1

我正在尝试锁定网站管理区域,首先我需要将会话检查添加到 Application.cfm!这应该处理所有 CFM 文件,无论位置如何。

但是对于直接访问的 CSS、JS 和 HTML 文件,我该怎么办?

还有其他安全建议吗?谢谢

4

1 回答 1

2

任何静态文件(html、jpg、css、pdf、mdb(lol) 等)都可以通过将它们放在 Web 根目录之外并使用cfheadercfcontent访问文件来保护。您的 CFM 文件包含cfheadercfcontent应包含在您的应用程序安全性中。

<cfheader name="content-disposition" value="attachment; filename=myAwesomeAccessDatabaseIsTheBombDigity.mdb">
<cfcontent type="application/x-msacces" file="c:\NotMyWebsite\myAwesomeAccessDatabaseIsTheBombDigity.mdb">

使用文件执行此HTML操作有点愚蠢,因为如果链接的资产(CSS、JS、JPG 等)也在您的 Web 根目录下,则它们将无法访问。Html、css、js、图像(除非您正在运行一个图形销售网站)通常不需要像这样保护。

于 2013-01-31T14:04:39.983 回答