在您看来,保护目录列表免受外部用户侵害的最佳方法是什么?
选项1:空白索引。这是我在几个网站上看到的标准方式,它具有不显示任何东西的优点,但缺点是暗示存在某些东西
选项2:404,发送假的404页面并重定向,这会导致网络浏览器出现问题吗?
选项3:401错误和重定向,这类似于空白索引,除了它将显示“未经授权”的标题,我认为这将是一个非常糟糕的选择(因为我很隐晦地说有一些重要的内部),但我也想听听你对此的看法
如果您知道我可能会使用的任何其他选项,请感谢您的帮助,请告诉我
答案 0 :(得分:1)
“最佳”方法是禁用列出服务器的目录(这通常会导致403错误,请参阅以下列表中的错误404以讨论信息泄漏)
最简单的方法是空白页(通常是index.html或index.htm)
返回错误代码的其他选项:
403(禁止)是apache httpd中的默认值,我认为这比空白页更好。
404是'未找到',这不是这里的情况(如果没有人知道该目录存在是为了防止泄露,可以使用,但如果ppl。知道它退出它没有任何意义因为它的存在已经知道了)和
401(需要认证)无论如何都没有任何意义
其他考虑因素
某些浏览器不显示自定义错误页面。如果您想提供指向主页面(或其他地方)的链接,可以使用包含链接或直接301/302重定向的“空白”页面。