我有一个非常基本的express.js服务器,我在其中创建了一个private文件夹以与public文件夹一起使用。所有以/private开头的请求都是来自该文件夹的静态文件,只要它们具有适当的授权标头即可。否则,它们将被重定向并从public文件夹中提供文件。所以这是基本设置:
文件夹结构:
-root
--- public
--- private
app.js:
app.use(express.static(path.join(__dirname, 'public')));
app.use('/private', requireAuth, express.static(path.join(__dirname, 'private')));
我想知道用户是否有任何方法可以选择其中一个方法。来自public文件夹的目录,以访问private文件夹中的文件,这将完全破坏我的安全措施。换句话说,从某些目录是私有的服务器上的任何目录提供任意静态文件是否安全?