关于阿里漏洞扫描laravel项目报出的风险

Web 配置文件泄露
漏洞描述
多种框架为提供动态配置的功能，会生成web.config、web.xml等配置文件，当HTTP应用服务器配置错误时，会导致这些配置文件可以通过URL直接访问。

看了下，public目录下生成了 web.config文件；请问如何处理，才能规避这个风险报告呢？

不积跬步，无以至千里；不积小流，无以成江海

184 声望

轻微的技术极客追求者

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

pikalu

184 声望

最佳答案

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

4年前评论

讨论数量: 3

Epona

版主 1.8k 声望 / Full Stack Developer @ Poper

讲道理，public下正常是不会有config.php的，不知道你怎么出现了

4年前评论

pikalu （楼主）

是 web.config

pikalu

184 声望

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}

4年前评论

hiword

205 声望

直接删除就好了，这个好像是iis下才用得到的，包括.htaccess文件，如果Nginx不开启支持.htaccess配置，这个也是没用的，或者像楼上说的在nginx中增加配置

4年前评论

pikalu （楼主）

楼上就是我自己哈哈

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助