该标签下有 1 篇文章
放进 webroot(公开目录)的文件,只要访问 URL 任何人都能取走。令牌或认证凭据的 JSON、.env、备份一旦遗忘在那里,立刻造成实害。再加上若源自共用模板,同一个洞会横向扩散到所有站点。对策=公开目录只放可以公开的东西,密钥放在 webroot 之外+权限 600,并且盘点自己的服务器、一处发现就全机排查。