禁止訪問自定義文件

我有包含重要設置（MySQL密碼等）和jQuery腳本的文件。我不希望他們被訪問（通過鏈接，例如link.com/scripts/jquery_script.js）。我做了一些，但代碼不起作用。代碼位於.htaccess文件中。 .htaccess文件在根目錄下。我把settings.php文件中的回聲，我可以看到它。禁止訪問自定義文件

<files scripts/settings.php> 
    order allow,deny 
    deny from all 
</files>

來源

2016-04-24 SilvioCro

一個在該領域的應用安全的基本原則是，你應該_whitelist_東西不_blacklist_東西，讓創意攻擊不會讓你感到驚訝。 –

Files指令不採用完整路徑。

使用該指令/scripts/.htaccess（創建它，如果它不存在）：

<files settings.php> 
    order allow,deny 
    deny from all 
</files>

來源

2016-04-24 09:42:18 anubhava

謝謝！我怎樣才能將用戶重新編輯爲帶有警告信息的頁面？我如何保護腳本文件夾內的所有文件？我保護.js文件，但然後瀏覽器無法加載文件。 – SilvioCro

您不能簡單地阻止訪問'scripts'文件夾內的所有文件。這些腳本將被你自己的網頁所需要，對嗎？ – anubhava

在這種情況下，重寫規則不應該阻塞'scripts'內的所有文件，因爲除了使用基於'HTTP_REFERER'的弱檢查之外，沒有可靠的方法來執行它。這個網站上有很多問題與阻止訪問'DocumentRoot'下可用的文件有關 – anubhava

禁止訪問自定義文件

回答

相關問題