在许多不同框架中,可能一些项目的主要配置文件(web.config,sql.config …)会放在项目根目录,当 HTTP 应用服务器配置错误时,会导致这些配置文件可以通过 URL 直接访问。
如何解决这一问题呢?
我们可以在 nginx 层做下控制(nginx.conf):
location ~* \.(config|ini|docx|txt|doc)$ {
# deny all;
return 404;
}
这样就可以实现目录下文件不可直接 URL 访问了。