tag
配置失误
该标签下有 3 篇文章
2026-06-11
是否把密钥文件遗忘在了公开目录里:webroot 盘点
放进 webroot(公开目录)的文件,只要访问 URL 任何人都能取走。令牌或认证凭据的 JSON、.env、备份一旦遗忘在那里,立刻造成实害。再加上若源自共用模板,同一个洞会横向扩散到所有站点。对策=公开目录只放可以公开的东西,密钥放在 webroot 之外+权限 600,并且盘点自己的服务器、一处发现就全机排查。
2026-06-08
X-Forwarded-For(XFF)伪造是什么 — 信任代理配置的陷阱与防御
XFF 是客户端可以伪造的头。在伪造 XFF 里夹带注入探测的无差别扫描是典型手法,而『信任全部代理(通配符)』很危险。对症处理=对 IP 头做净化,根本=把信任代理收敛到合适范围。即便没有实际损害,也有该修复的配置。
2026-06-07
Laravel 应用的 .env 被暴露给全世界——共享虚拟主机上最常见的部署错误
根本原因是『把应用本体放到了 public_html 目录正下方』。本该只暴露 public/。按应急处置→密钥轮换→结构改造三个阶段修复,并用机制防止再次发生。