如何限制apache权限以防止用户直接访问代码?

编程问答 2022-06-11

问题描述

我有一个已在组织中实施的Laravel项目,但权限方面存在一些问题。

无论登录与否,用户都可以查看控制器,存储,提供程序的目录列表,基本上是所有内容。

他们不能通过右键单击来保存它,但是他们可以直接单击并执行它,这会带来很多安全问题。

这不是一个面向公众的网站,但是它仍然需要保护,因为网络上的任何人都可以通过URL从技术上访问它。

我该如何确保呢?

请参见下面的示例:

Example Directory listing that is not restricted

解决方法

感谢@Andre Gelinas,看来我的httpd.conf文件有问题。

由于某种原因,它已经完全开放,允许所有权限,每个人都可以访问所有目录/文件。

对于那些想知道并且也有Laravel项目的人,以下几行解决了我的问题。

请注意,这基于Windows Apache。如果您使用的是Linux,则需要替换为Linux路径。

#Prevent access to all of mdm3 directory
<Directory "${SRVROOT}/htdocs/mdm3">
    Require all denied
</Directory>

#Except allow the public directory
<Directory "${SRVROOT}/htdocs/mdm3/public">
  Require all granted
</Directory>
apachedirectorypublicrestrictsecurity

相关问答

matplotlib报错:AttributeError: module 'backend_interagg' has no attribute 'FigureCanvas'. Did you mean: 'FigureCanvasAgg'?
使用本地python环境可以成功执行 import pandas as pd impor...
gitlab登录失败,报错:This challenge page was accidentally cached by an intermediary and is no longer available.
设置时间 控制面板
后端开发常见错误
错误1:Request method ‘DELETE‘ not supported 错误还原:...
docker常见错误
错误1:启动docker镜像时报错:Error response from daemon:...
idea常见错误
错误1:private field ‘xxx‘ is never assigned 按Alt...
pip安装依赖失败
报错如下,通过源不能下载,最后警告pip需升级版本 Requirem...