中文 (中国)
拒绝访问某些文件
如何使用 .htaccess 拒绝访问敏感配置文件
在构建和维护网站时,安全始终应是首要任务。Web 安全中最容易被忽视但至关重要的一个方面,是确保敏感文件——例如配置文件——不能通过浏览器被公众访问。
例如,像 config.cfg 这样的文件可能包含数据库凭据、API 密钥或其他机密信息。如果没有得到妥善保护,某人只需在浏览器中输入 http://www.yourdomain.com/config.cfg,就可以访问该文件的内容。这类漏洞可能导致 data breaches、website defacement,甚至 full server compromise。
幸运的是,如果你使用的是 Apache web hosting(大多数共享 hosting 套餐都是如此,包括 AvaHost 的套餐),你可以轻松使用 .htaccess 文件来保护此类文件。
什么是 .htaccess?
.htaccess 文件是 Apache web server 使用的配置文件,用于应用目录级设置,而无需修改主 server 配置。它特别适用于以下内容:
启用或禁用目录列表
设置重定向
强制使用 HTTPS
控制对特定文件或文件夹的访问
在我们的例子中,我们将使用 .htaccess 来 拒绝对
.cfg文件的直接访问。
如何保护配置文件
✅ 第 1 步:定位目录
导航到包含敏感文件的目录——例如,存放 config.cfg 的同一文件夹。这通常位于你网站的 document root(/public_html/、/www/ 或类似位置)中。
✅ 第 2 步:创建或编辑 .htaccess 文件
如果该目录中已经有 .htaccess 文件,请打开它。如果没有,请创建一个新文件并将其命名为 .htaccess(是的,开头有一个点)。
✅ 第 3 步:添加安全规则
将以下指令插入文件中:
<FilesMatch ".(cfg)$">
Order allow,deny
Deny from all
</FilesMatch>含义如下:
<FilesMatch “.(cfg)$”> — 目标为所有以 .cfg 结尾的文件
Order allow,deny — 设置规则优先级(Apache 2.2 语法)
Deny from all — 拒绝对匹配文件的所有 web 访问
因此,任何尝试直接从浏览器打开 config.cfg 的行为都将返回 403 Forbidden 错误。
📌 注意:如果你使用的是 Apache 2.4+,你可能需要改用以下现代语法:
相关文章
