我知道
.htaccess- index.php (root)
-- scripts (folder)
--- someScript.php (one of the scripts)
所以假设我有一个
index.phprootscriptsdomain.com/scripts/我知道我可以使用
options -Indexes我知道的第二个选择是
<Files ~ "\.txt$">
Order allow,deny
Deny from all
</Files>
但这会阻止所有内容访问文件,甚至是 ajax 请求。
所以,我的问题是,我应该以某种方式保护这些文件吗?用户能否看到或下载其内容,是否存在安全风险?
我应该以某种方式保护这些文件吗?
好吧,如果客户端请求它们(浏览器 AJAX 请求),你真的不能。
通过 AJAX(客户端)调用脚本时通常会发送自定义 HTTP 请求标头,因此脚本知道如何响应此类请求并返回适当的响应。虽然这不提供“安全性”,但它确实可以防止对该脚本的随意请求执行任何操作。
例如,如果您有文件
/scripts/ajax-script.php.htaccessRewriteEngine On
# Block request to file if "X-Ajax-Request" header is not present
RewriteCond %{HTTP:X-Ajax-Request} ^$
RewriteRule ^scripts/ajax-script\.php$ - [F]
用户能否看到或下载他们的内容,是否存在安全风险?
您给出的示例是 PHP 脚本。任何直接请求只会看到其输出,不一定看到其内容。
唯一的安全风险是你自己造成的。如果对该脚本的任意请求返回所有活动用户和个人信息的列表,那么是的,这显然存在安全风险。但是,如果响应为空并且调用该脚本没有发生有害事件,那么这就不是问题。