网站生产环境禁用掉 .git 目录的访问

更新日期: 2017-04-08 阅读次数: 5686 分类: 安全

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你

https://accout:password@github.com/project ...

再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。

解决办法

Nginx 上将 .git 目录禁止访问

location ~ /\.git {
  deny all;
}

更彻底的方法,最好将所有的隐藏目录都禁用掉

# or, all . directories/files in general (including .htaccess, etc)
location ~ /\. {
  deny all;
}

参考

领取阿里云/腾讯云服务器优惠券

关于作者

我是来自山东烟台的一名开发者,喜欢瞎折腾,顺便记记笔记。有敢兴趣的话题,欢迎加微信 zhongwei 聊聊。 白天写程序,晚上哄熊孩子,可能回复有点慢,见谅。 查看更多联系方式

相关文章

爱评论不评论

近期节日

2020年04月07日 世界卫生日
2020年04月11日 世界帕金森病日
2020年04月19日 谷雨
2020年04月21日 复活节
2020年04月22日 世界地球日
2020年04月23日 世界读书日
2020年04月26日 知识产权日
2020年04月30日 佛诞
2020年04月30日 全国交通安全反思日
2020年05月01日 国际劳动节
2020年05月04日 五四青年节
2020年05月05日 立夏
查看更多节日