我正在尝试锁定网站管理区域,首先我需要将会话检查添加到 Application.cfm!这应该处理所有 CFM 文件,无论位置如何。
但是对于直接访问的 CSS、JS 和 HTML 文件,我该怎么办?
还有其他安全建议吗?谢谢
我正在尝试锁定网站管理区域,首先我需要将会话检查添加到 Application.cfm!这应该处理所有 CFM 文件,无论位置如何。
但是对于直接访问的 CSS、JS 和 HTML 文件,我该怎么办?
还有其他安全建议吗?谢谢
任何静态文件(html、jpg、css、pdf、mdb(lol) 等)都可以通过将它们放在 Web 根目录之外并使用cfheader
和cfcontent
访问文件来保护。您的 CFM 文件包含cfheader
并cfcontent
应包含在您的应用程序安全性中。
<cfheader name="content-disposition" value="attachment; filename=myAwesomeAccessDatabaseIsTheBombDigity.mdb">
<cfcontent type="application/x-msacces" file="c:\NotMyWebsite\myAwesomeAccessDatabaseIsTheBombDigity.mdb">
使用文件执行此HTML
操作有点愚蠢,因为如果链接的资产(CSS、JS、JPG 等)也在您的 Web 根目录下,则它们将无法访问。Html、css、js、图像(除非您正在运行一个图形销售网站)通常不需要像这样保护。