我無法理解為什么 .env 仍然暴露在外。該網站具有 HTTPS 證書。我在 .htaccess 檔案中拒絕了 .env 檔案,如下所示:
# Disable index view
Options -Indexes
# Hide a specific file
<Files .env>
Require all denied
</Files>
它在這些 URL 上被正確阻止(403 禁止錯誤):
https://example.com/.env
http://example.com/.env
http://###.IPaddress.###/.env
但是通過忽略“不安全”警告仍然可以看到:
https://###.IPaddress.###/.env
同樣,仍然有 Apache Testing 123 頁面作為上述 URL 的主頁(當不訪問 .env 檔案時)。我怎樣才能阻止這個檔案?
uj5u.com熱心網友回復:
您可能有一個捕獲請求的默認值 <VirtualHost *:443>(服務器配置中定義的第一個 vHost 是“默認值”),這可能不允許.htaccess覆寫(即AllowOverride未定義或設定為None),因此.htaccess檔案不是處理。
您需要確保捕獲請求的默認vHost 完全阻止對 IP 地址的請求,或者重定向到規范主機名。
有關配置此問題的更多詳細資訊,請參閱有關 ServerFault 的以下問題:
- https://serverfault.com/questions/914649/htaccess-block-access-when-http-host-is-ip-security
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/411226.html
標籤: