我正在为网站创建一个新设计,并且有一个旧的CGI脚本,它会向我们的服务器发送一封电子邮件。 由于隐私问题,我无法在此处发布代码,但问题将在一秒钟内明确。
此CGI脚本采用一些模板,然后重定向到“thanks.htm”页面。但在这样做时,它使用的是绝对路径。
现在的问题是:使用绝对路径是否安全?我的意思是,是否可以读出CGI脚本以获取有关服务器架构的信息?
提前致谢, 问候雷霆
答案 0 :(得分:0)
您没有提到哪个平台或网络服务器,但无论如何,正确配置的Web服务器不应该能够提供可读的cgi脚本。我认为在安全的环境中,cgi-bin目录应该位于可访问的网站空间之外。
恕我直言,使用绝对路径的问题不像可扩展性问题那样是一个安全问题。如果它是我的应用程序,我会将OS环境变量设置为文档根目录,然后使用该变量构建绝对路径。这会提供一些额外的安全性吗?也许 - 因为您对文件结构重新调整的担忧有所缓解。但它确实可以更轻松地重新配置应用程序,或将其移植到新的服务器/位置。