关于阿里漏洞扫描laravel项目报出的风险

问答 / 346 / 3 / 创建于 3年前

Web 配置文件泄露
漏洞描述
多种框架为提供动态配置的功能，会生成web.config、web.xml等配置文件，当HTTP应用服务器配置错误时，会导致这些配置文件可以通过URL直接访问。

看了下，public目录下生成了 web.config文件；请问如何处理，才能规避这个风险报告呢？

不积跬步，无以至千里；不积小流，无以成江海

184 声望

轻微的技术极客追求者

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《G01 Go 实战入门》

从零开始带你一步步开发一个 Go 博客项目，让你在最短的时间内学会使用 Go 进行编码。项目结构很大程度上参考了 Laravel。

推荐文章：

更多推荐...

Laravel 11 中文文档仓库，已翻译完成！！！ 16 / 28 |

[求职]在郑州工作4年的程序媛的简历优化 13 / 172 |

Laravel验证器最完整用法实例 31 / 14 |

PHP Annotated——2023 年 12 月 25 / 2 |

冯老师的困惑——测试和正式环境掐架篇（一） 15 / 23 |

使用 Laravel 10 & Vue 3 开发了一个社区站，一起来玩下～ 17 / 39 |

pikalu

184 声望

最佳答案

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

3年前评论

讨论数量: 3

Epona

版主 1.8k 声望 / Full Stack Developer @ Poper

讲道理，public下正常是不会有config.php的，不知道你怎么出现了

3年前评论

pikalu （楼主）

是 web.config

pikalu

184 声望

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

3年前评论

hiword

207 声望

直接删除就好了，这个好像是iis下才用得到的，包括.htaccess文件，如果Nginx不开启支持.htaccess配置，这个也是没用的，或者像楼上说的在nginx中增加配置

3年前评论

pikalu （楼主）

楼上就是我自己哈哈

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助