禁止访问自定义文件

2016-04-24 60 views 2 likes

我有包含重要设置（MySQL密码等）和jQuery脚本的文件。我不希望他们被访问（通过链接，例如link.com/scripts/jquery_script.js）。我做了一些，但代码不起作用。代码位于.htaccess文件中。 .htaccess文件在根目录下。我把settings.php文件中的回声，我可以看到它。禁止访问自定义文件

<files scripts/settings.php> 
    order allow,deny 
    deny from all 
</files>

来源

2016-04-24 SilvioCro

一个在该领域的应用安全的基本原则是，你应该_whitelist_东西不_blacklist_东西，让创意攻击不会让你感到惊讶。 –

回答

Files指令不采用完整路径。

使用该指令/scripts/.htaccess（创建它，如果它不存在）：

<files settings.php> 
    order allow,deny 
    deny from all 
</files>

来源

2016-04-24 09:42:18 anubhava

谢谢！我怎样才能将用户重新编辑为带有警告信息的页面？我如何保护脚本文件夹内的所有文件？我保护.js文件，但然后浏览器无法加载文件。 – SilvioCro

您不能简单地阻止访问'scripts'文件夹内的所有文件。这些脚本将被你自己的网页所需要，对吗？ – anubhava

在这种情况下，重写规则不应该阻塞'scripts'内的所有文件，因为除了使用基于'HTTP_REFERER'的弱检查之外，没有可靠的方法来执行它。这个网站上有很多问题与阻止访问'DocumentRoot'下可用的文件有关 – anubhava

禁止访问自定义文件

回答

相关问题