假设有一个网站www.example.com/user/john。访问该链接会将您带到www.example.com/user/john/index.html.
有像www.example.com/user/john/picture.png和之类的文件www.example.com/user/john/document.html。这些也可供公众访问,但没有来自index.html.
是否有系统的方法来找出这些文件?我问是因为我要建立我的网站,而且我还想放一些我不一定希望每个人都看到的文件,只有我给链接的人才能看到。所以我想知道找出这些文件存在于我的目录中是多么容易/困难。
最重要的是,您必须关闭仅使用浏览器浏览目录的可能性。每个服务器都有自己的方式来关闭它。然后你可以使用建议的“通过默默无闻的安全”的方式。
另一种方法是,让特定文件夹的访问受到 http 基本身份验证的限制。这可以在 .htaccess 文件中进行配置,该文件放在您只想与特定人员共享的目录的根文件夹中。
只需谷歌“.htacces”和“基本身份验证”。
HTTP 不提供这样的目录列表方法。如果 index.html 等索引文件不存在,大多数 Web 服务器可以设置为提供 HTML 格式的目录列表。如果您提供了一个索引文件以使自动索引不会发生(或者如果您通过 Web 服务器配置禁用自动索引),并且如果您的“隐藏”文件名难以猜测,那么它们应该很难找到。我有时会在一个带有随机乱码名称的目录中发布此类文件。
Dropbox、Picasa 和其他服务使用的“共享链接”也是如此,它们只是在 URL 中使用更长的随机文件/目录名称或随机参数。
为了提供真正的安全性,您需要设置 https (SSL/TLS),以便网络上的任何窃听者都无法轻松查看请求的 URL,以及使用用户名/密码的 HTTP 基本身份验证等身份验证。对于不太敏感的东西,http到随机隐藏目录通常会很好。