【问题标题】:Denying via 404 instead of 403通过 404 而不是 403 拒绝
【发布时间】:2011-06-25 16:56:19
【问题描述】:

我为 phpmyadmin 设置了以下设置:

<Directory /usr/share/phpmyadmin>
        Options FollowSymLinks
        DirectoryIndex index.php
        Order Deny,Allow
        Allow from 127.0.0.1
        Deny from all

...

</Directory>

所以本质上,我只允许从 localhost 访问 phpmyadmin。如果外界有人尝试访问http://mydomain/phpmyadmin,他们将收到 403(禁止访问)。这可能会让他们知道它就在那里,但他们就是无法理解。

问题:在这种情况下,我宁愿让 Apache 返回 404。这可能吗?

【问题讨论】:

  • 对我来说听起来像是不好的做法。
  • 这是在您的 httpd.conf 文件中,还是包含在 conf.d/ 目录中?
  • @You 我不会这么说的。这就像显示“您的用户名或密码输入错误”与“您的密码输入错误”之间的区别
  • @you 这是一个很好的做法。您不想向可能是攻击者的外人公开额外信息。此外,如果搜索引擎看到“404 不存在”消息,他们将不会再次访问该页面。您可以为 DMZ 保留 403。

标签: apache apache2


【解决方案1】:

我在互联网上寻找类似问题的答案。虽然 mod_rewrite 是一种可能的解决方案,但我发现最好的解决方案是使用“RedirectMatch”指令。

StackOverflow: Problem redirecting 403 Forbidden to 404 Not Found

【讨论】:

    猜你喜欢
    • 2015-04-19
    • 2018-11-10
    • 2018-12-05
    • 1970-01-01
    • 2019-12-15
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多