你好,我正在使用 Openlitespeed 服务器创建一个新的 laravel 项目,我发现了一个明显的安全问题。我已将以下规则添加到站点根目录的 .htaccess 中,当有人尝试通过以下方式下载 .env 文件时,它会正常工作并停止www.mywebsite.com/.env 但令我惊讶的是,可以通过访问服务器 IP 轻松下载 .env 文件,例如:127.0.0.1/.env
答案1
https://openlitespeed.org/kb/access-control/#articleTOC_4给出如何阻止文件访问的示例。
创建一个静态上下文,其中 URI 为/.env
,位置为$DOC_ROOT/.env
,并将其设置为No
Accessible。
但是,您的文档根目录应该是public
根据 Laravel 文档的文件夹,如果按照他们的建议进行操作,您甚至不必担心访问该.env
文件,因为它将位于 Web 服务器提供的路径的上一级。