对于不希望被外部访问的敏感文件一般采用哪种措施

不存在当前文件的话，可以在nginx配置重定向页面

error_page   500 502 503 504  /50x.html;
location = /50x.html {
            root   html;
}

不想被访问的文件也可以通过匹配文件名来重定向

入口文件在 public 目录，但是 composer.json 不是在项目根目录下么！这么访问肯定是 404 啊。

前提错了；

├── app
├── bootstrap
├── config
├── database
├── package.json *
├── public *
│   ├── css
│   └── js
├── resources
├── routes
├── storage
└── tests

假设项目目录是 /example.com/；
composer.json 文件是在 /example.com/ 目录下；
在配置 NGINX 或者 Apache 的时候需要把目录指向到 /example.com/public ；

server {
    #...
    root /example.com/public;
    #...
}

这个可以参考文档： 部署《Laravel 6 中文文档》
/example.com/public 下本来就没 package.json 文件 ； 404 属于正常反应；

再补充一下 @白俊遥 的回答，即便 composer.json 在项目根目录，部署之前也应当清理掉几类文件：

• 代码管理相关的（/.git*...）
• 依赖管理相关的（/composer.json, composer.lock...）
• 运行时产生的（/storage/app...）
• 由运行环境决定的（/.env...）
• 非代码或非运行时所需的（/README.md, _ide_helper.php...）
• 测试相关的（/tests...）

那个文件基本上不会上到正式环境的。因为生产中那个composer.json 对程序没影响，只有在开发中才有用
.git 目录肯定也不会的。都是通过CI/CD 去打包构建，上传。

坐等大佬