因此,我决定尝试破坏我的网站...我通过输入 site:mysite.com/whatever 来搜索我的网站,结果发现,所有用户上传的文件都可以在特定目录下查看。
我应该使用什么样的脚本/反措施来阻止这些文件被查看?我已经有一个脚本来检查路径和登录状态,但这似乎不起作用。我到处寻找解决方案......但我找不到一个。我正在使用 ColdFusion 8。
最佳答案
这与其说是 ColdFusion 问题,不如说是网络服务器配置问题。
你应该:
将您的网络服务器配置为在使用不带文件名的 URL 时不显示文件目录(例如,
http://www.example.com/files/
)将一个空白的默认 Web 文档(index.html、index.htm、default.htm、index.cfm 等)放入该目录,以便它显示该文档而不是文件列表。如果您使用 index.cfm,它会在您的文件路径中触发您的 Application.cfm/cfc 并使用您构建的任何其他安全措施。
(或者,更好的是,两者都做)
关于security - Coldfusion 安全问题...如何隐藏文件目录?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6203627/