可以在不知道文件名的情况下查看Laravel公共目录中的文件吗?

时间:2019-06-30 16:46:23

标签: laravel

我正在将文件存储在public目录中。如果我的文件是100个字符的随机字符串,那么有人可以找到该文件吗?有什么方法可以保护Laravel的{{1}}目录吗?

1 个答案:

答案 0 :(得分:1)

请勿尝试执行此操作。默默无闻的安全性不是有效的方法。

此方法的一些缺陷:

  • 如果我知道文件存在,但没有文件名:我可以尝试所有组合找到它。

  • Web服务器可能存在一个未知的漏洞,该漏洞允许列出目录?

如果未使用HTTPS,则任何监视请求的人都可以看到该文件。

最好的方法是创建一个为文件提供服务的视图,该视图存储在公共目录(/storage)之外,并使用一次性令牌或登录名来保护视图。