关于阿里漏洞扫描laravel项目报出的风险

  1. Web 配置文件泄露
    漏洞描述
    多种框架为提供动态配置的功能,会生成web.config、web.xml等配置文件,当HTTP应用服务器配置错误时,会导致这些配置文件可以通过URL直接访问。

看了下,public目录下 生成了 web.config文件;请问如何处理,才能规避这个风险报告呢?

不积跬步,无以至千里;不积小流,无以成江海
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L02 从零构建论坛系统》
以构建论坛项目 LaraBBS 为线索,展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。
最佳答案

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}
3年前 评论
讨论数量: 3
Epona

讲道理,public下正常是不会有config.php的,不知道你怎么出现了

3年前 评论
pikalu (楼主) 3年前

nginx层做下控制

location ~* \.(config|ini|docx|txt|doc)$ {
          # deny all;
                return 404;
}
3年前 评论

直接删除就好了,这个好像是iis下才用得到的,包括.htaccess文件,如果Nginx不开启支持.htaccess配置,这个也是没用的,或者像楼上说的在nginx中增加配置

3年前 评论
pikalu (楼主) 3年前

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!