阿賈克斯獲取不存在目錄遍歷漏洞

Question

根據我的javascript和目錄遍歷有人理解可能改寫的JavaScript（即的GreaseMonkey），並可能改變阿賈克斯的目標文件獲取請求。

在我的測試中，使用typo3在ajax中使用「../」時，如果該頁面可以被用戶指定，則服務器會響應較高級別的頁面。當用戶輸入有效的路徑時，他也會獲得該文件的內容。

是否可以隱藏使用的路徑，使現有的文件不能被強制強制且文件不包含「Path Disclosure」？

或者是混淆的路要走？

Answer 1

那麼，不可能避免bruteforcing文件名，如果用戶被允許登錄。但是，對於未登錄的用戶，如果用戶未登錄，則可以返回404狀態碼。此外，爲什麼在瀏覽器插件允許您發送任何請求時使用url重寫。