該標籤下有 1 篇文章
放進 webroot(公開目錄)的檔案,只要存取 URL 任何人都能取走。權杖或驗證憑證的 JSON、.env、備份一旦遺忘在那裡,立刻造成實害。再加上若源自共用範本,同一個洞會橫向擴散到所有站點。對策=公開目錄只放可以公開的東西,金鑰放在 webroot 之外+權限 600,並且盤點自己的伺服器、一處發現就全機排查。