我正在浏览网页并遇到以下情况:
源代码(包括配置文件)与要下载的文件(例如静态资源)一起存储在可公共访问的目录中。 [...]您可以使用.htaccess来限制访问。这并不理想,因为默认情况下它不安全,但没有其他选择。
有时我使用以下代码来阻止从特定目录访问:
// contents of .htaccess
order deny,allow
deny from all
allow from none
在Webroot外部有访问权限的服务器上,显然没有必要阻止使用.htaccess访问文件夹/文件。
有人可以解释为什么他们写“.htaccess默认是不安全的”,有什么方法可以阻止访问常规LAMP堆栈上的某些文件?
答案 0 :(得分:1)
.htaccess不是一个完整的安全解决方案。在没有SSL的情况下,它不会保护您免受ddos,嗅探或中间人(使用身份验证时)的影响。
至于拒绝访问特定文件,它通常都很好。如果没有这样做的情况是在其他地方已经成功利用的情况。由于目录中的任何文件都必须由进程所有者读取,因此这些文件仅由.htaccess表面保护。