问题描述:
客户反映,网站前台可以访问到web-inf\web.xml文件,存在安全隐患。
解决方法:
修改httpd.conf配置文件,将limitexcept写到指令中,配置如下:
order allow,deny
deny from all
options none
allowoverride none
order deny,allow
deny from all
示例文件:
测试默认域名已被禁用,除get head post以外的http请求方法也已被禁用。问题解决。
经检查,这个问题仅存在于9.4.1的版本,9.5.0中已经处理。
原因说明:
apache中配置段的合并的顺序是:
(和)
和同时处理;
和同时处理;
指令是在最后执行的,所以在配置文件中,我们虽然在指令中禁用了默认域名访问,但最后执行指令判断时,此处是允许get head post三种http方法请求访问的。
阅读资料:http://www.php100.com/html/webkaifa/apache/2009/0418/1193.html
|
