我有一个 Joomla 站点 www.siteA.com 和另一个 Joomla 站点 www.siteA.com/siteB。
我在站点 A 有一个 .htaccess -文件,但在站点 B 没有。
在 siteB 没有 .htaccess 文件是否存在安全风险?
问问题
3084 次
5 回答
7
.htaccess文件用于覆盖在 apache 配置中设置的其他设置。如果您没有想要更改的内容,那么您不需要(也不应该拥有) .htaccess 文件。
于 2009-04-06T20:07:41.847 回答
3
为 Joomla! 编写的 .htaccess 文件!主要用于 mod_rewrite 目的,因此您可以获得 SEF URL 而不会 /index.php/ 卡在中间。那里有一些额外的规则来阻止因错误配置的服务器或编码不当的第 3 方扩展而发生的攻击。不必使用此文件来保护核心 Joomla!系统。这是你的最后一道防线,而不是你的第一道防线。
于 2009-04-07T00:03:19.130 回答
1
您有权访问主服务器配置文件吗?如果是这样,您根本不应该使用 .htaccess 文件。不正确配置服务器会带来安全风险,但所有配置都应在主配置文件中完成(/etc/apache2/httpd.conf例如)。
如果您无权访问主服务器配置文件,那么没有 .htaccess 文件可能不会带来安全风险。通常,编写主服务器配置文件的人不会留下任何重大的安全漏洞(好吧,至少我们希望如此)。但这取决于您网站的具体情况。例如,可以将主服务器配置为在目录中没有索引文件时允许目录列表。如果您有不希望任何人意外找到的文件,这可能会带来安全风险,但否则不会有任何危害。
于 2009-04-06T20:19:05.720 回答
1
.htaccess 文件是用于覆盖每个目录级别的选项的配置文件。可以从主 apache 配置(通常在 /usr/local/etc/apache* 中)设置这些相同的选项(以及更多)。如果您拥有自己的服务器并正确设置了 Apache 配置,那么出于性能原因禁用.htaccess实际上可能会有所收获。
未正确配置权限通常会带来安全风险。如何设置它们取决于您。有些人更喜欢启用 .htaccess,以便他们可以将应用程序特定的设置保持在一起。
要回答您关于 Joomla 的具体问题:默认提供的 .htaccess 文件只不过是 URL 重写而已。这提供了近乎零的安全优势,因此没有 .htaccess 文件应该不是问题。它还为一些旧的第三方模块增加了一些基本的保护。但是,您应该更新或删除它们,而不是依赖 .htaccess
最后,这取决于您所说的安全(几乎所有与安全有关的问题)。
于 2009-04-07T15:24:42.020 回答
0
使用htaccess 文件是否存在安全风险?我在工作中将一个 htaccess 文件上传到了一个公共网络文件夹,以将页面仅限于员工,但被告知我不应该使用 htaccess 文件或编程,否则我会填满整个网站并冒着安全风险。我使用了以前在其他领域工作时使用过的标准 htaccess 文件,没有任何问题。当网站管理员说“使用 htaccess 存在安全风险”时,他们是什么意思?
于 2010-10-26T00:23:21.633 回答