Security 目录列表保护,空白索引vs 404 vs 401
您认为保护目录列表不受外部用户攻击的最佳方法是什么 选项1:空白索引。这是我在几个网站上看到的标准方式,它的优点是没有显示任何内容,但缺点是暗示存在某些内容 选项2:404,发送一个假的404页面并重定向,这会导致webcrawlers出现问题吗 <选项> 3:401错误和重定向,这类似于空白索引,除了它将显示一个“未授权”的标题,我认为这将是一个非常糟糕的选择(因为IM隐含地说里面有一些重要的东西),但是我也想听听你对这个问题的看法,Security 目录列表保护,空白索引vs 404 vs 401,security,Security,您认为保护目录列表不受外部用户攻击的最佳方法是什么 选项1:空白索引。这是我在几个网站上看到的标准方式,它的优点是没有显示任何内容,但缺点是暗示存在某些内容 选项2:404,发送一个假的404页面并重定向,这会导致webcrawlers出现问题吗 3:401错误和重定向,这类似于空白索引,除了它将显示一个“未授权”的标题,我认为这将是一个非常糟糕的选择(因为IM隐含地说里面有一些重要的东西),但是我也想听听你对这个问题的看法, 感谢您的帮助如果您知道我可能使用的任何其他选项,请告诉我最好的方法
感谢您的帮助如果您知道我可能使用的任何其他选项,请告诉我最好的方法是禁用列出服务器的目录(这通常会导致403错误,有关信息泄漏的讨论,请参阅下面列表中的错误404) 最简单的方法是空白页(通常是index.html或index.htm) 返回错误代码的其他选项:
- 403(禁止)是apachehttpd中的默认值,我认为这比空白页面要好
- 404表示“找不到”,这里不是这种情况(如果没有人知道该目录存在以防止泄露,则可以使用,但如果ppl.know它退出,则没有任何意义,因为它的存在是已知的),并且
- 401(需要认证)在任何情况下都没有任何意义
某些浏览器不显示自定义错误页。如果要提供指向主页(或其他地方)的链接,可以使用包含链接的“空白”页面或直接301/302重定向。只需禁用服务器中的目录列表。404似乎不错。为什么这会导致webcrawlers出现问题?ApacheHttpd中的默认设置是403(禁止)的可能重复,我认为这比空白页面要好。404表示“未找到”,但这里不是这样(如果没有人知道目录存在,可以使用,但如果ppl.know it Exit,则没有任何意义),401(需要身份验证)在任何情况下都没有任何意义在阅读了大量信息后,我想你是对的。。。这一联系变得更加清晰: