在构建网站时,我通过相对链接从父文件夹引用文件(assets,js,css)。这是安全的做法吗?或者我是否打开网站以解决安全问题/风险,例如目录遍历攻击?绝对链接会更安全还是会导致更多的HTTP请求?什么是最佳做法?
答案 0 :(得分:1)
你应该没事。无论哪种方式,如果文件被移动,将无法找到它们。就安全性而言,我不是百分百肯定,但我怀疑HTML中的链接类型会导致安全问题。那是我可能会等待得到另一个答案的。
答案 1 :(得分:0)
没有安全风险。当错误的Web服务器实现或错误的脚本错误地允许在URL中输入路径字符并遍历服务器目录结构时,会发生Directory Traversal。例如,“..”或“/”字符(或其编码版本)。
一个例子是,如果您有网址https//www.example.com/readFile.php?file=readme.txt,恶意用户可以将其更改为https//www.example.com/readFile.php?file=/etc/passwd,那么如果这样做有效,则会容易受到攻击。
在这种情况下,HTML页面中的链接与在地址栏中直接输入该URL的用户相同,因此不会引入额外的风险。相对链接可能更安全,因为将错误引入任何可生成绝对链接的URL解析代码的风险较小。最新版本的流行Web服务器可以抵御此攻击,如果您没有引入自己的包含漏洞的脚本,那么您应该是安全的。