我正在尝试锁定网站管理区域,首先我需要将会话检查添加到Application.cfm!这应该处理所有CFM文件,无论位置如何。
但是我如何直接访问CSS,JS和HTML文件呢?
还有其他安全建议吗?感谢
答案 0 :(得分:2)
任何静态文件(html,jpg,css,pdf,mdb(lol)等)都可以通过将它们放在Web根目录之外并使用cfheader和cfcontent来访问这些文件来加以保护。您的应用程序安全性应涵盖包含cfheader和cfcontent的CFM文件。
<cfheader name="content-disposition" value="attachment; filename=myAwesomeAccessDatabaseIsTheBombDigity.mdb">
<cfcontent type="application/x-msacces" file="c:\NotMyWebsite\myAwesomeAccessDatabaseIsTheBombDigity.mdb">
使用HTML文件执行此操作有点愚蠢,因为如果链接资产(CSS,JS,JPG等)也低于您的Web根目录,则无法访问它们。 Html,css,js,images(除非你正在运行一个图形销售网站)通常不需要像这样受到保护。