网站生产环境禁用掉 .git 目录的访问

更新日期: 2017-04-08 阅读次数: 6107 分类: 安全

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你

https://accout:password@github.com/project ...

再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。

解决办法

Nginx 上将 .git 目录禁止访问

location ~ /\.git {
  deny all;
}

更彻底的方法,最好将所有的隐藏目录都禁用掉

# or, all . directories/files in general (including .htaccess, etc)
location ~ /\. {
  deny all;
}

参考

领取阿里云/腾讯云服务器优惠券

关于作者

我是来自山东烟台的一名开发者,喜欢瞎折腾,顺便记记笔记。有敢兴趣的话题,欢迎加微信 zhongwei 聊聊。 白天写程序,晚上哄熊孩子,可能回复有点慢,见谅。 查看更多联系方式

相关文章

爱评论不评论

近期节日

2020年07月11日 世界人口日
2020年07月22日 大暑
2020年07月30日 非洲妇女日
2020年08月01日 八一建军节
2020年08月06日 国际电影节
2020年08月07日 立秋
2020年08月15日 日本投降日
2020年08月22日 处暑
2020年08月25日 七夕
2020年09月02日 中元节
2020年09月03日 抗日胜利纪念日
2020年09月07日 白露
查看更多节日