管理页面允许我访问网站数据库。当然,那里会有一个登录屏幕,但我想采取措施,确保除了我之外没有人会看到这个页面。
我在 VPS 上使用 asp.net。
因此,根据我的理解,为管理员登录页面赋予一个复杂的名称就足够了,以便可以像这样访问 mysite.com/ie63xk...kig.aspx。
我的问题是:如果我禁止目录浏览,并且没有指向隐藏管理页面的链接,那么人类 / 机器人 / 搜索引擎如何找到此页面?
答案1
如果您禁用目录浏览并确保没有指向管理员登录页面的链接,那么人们就不会知道这件事。但依靠隐蔽性来保证安全是非常不明智的。可以通过浏览器历史记录、代理日志、Web 服务器日志发现对此秘密页面的访问权限。它还可以以引用标头的形式泄露;假设您的秘密管理页面上有一个外部链接。
我建议你集中精力保护你的登录屏幕,而不是阻止别人知道它。如果你的用户名、密码和登录屏幕代码都符合标准,即使有人看到也没关系。
您可以采用的附加安全层是过滤对登录屏幕的访问,只允许特定 IP 地址访问。这在 ASP.NET 中很容易实现。
总而言之,对于您的问题“人类/机器人/搜索引擎有没有办法找到这个页面?”的答案是否定的。
答案2
正常的做法是给目录设置密码保护。这样你就需要再次登录才能看到页面。
这肯定会保护页面免受人为/机器人/搜索机器人的侵害,在 vps 中最好使用表单身份验证模式。