在哪里放置Web管理文件夹?
我的网站已编码,几乎可以部署了。唯一令人困惑的是将admin(后端)文件夹置于不可见性(扫描程序如acunetix)和安全性的位置。
目前,admin文件夹位于根文件夹中,如下图所示
我通过默默无闻地阅读"安全性"并对该主题有一个很好的理解。我在考虑(以前从未做过或尝试过)创建子域www.admin.abc.com,然后在那里上传管理内容。
哪一个更好的方式?
真诚地寻找您宝贵的意见。
3 个答案:
答案 0 :(得分:3)
与所有文件,管理员或其他文件一样,如果您不希望网络服务器将网址直接映射到文件,则应将其完全保留在网络安全之外。否则,它可能应该在webroot下的某个地方。
通过默默无闻问题的安全性的一点是,你不能信任一个微不足道的秘密(如URL)来保护它。因此,URL并不重要(至少从安全的角度来看),你可以把它放在方便的地方。只需确保你有一些真正的安全性(例如基于密码的身份验证)。
答案 1 :(得分:1)
首先,您不应该担心后端文件夹位置如果您的代码中没有漏洞。
如果它是私有软件(不是公开的开源软件),那么你有更好的机会,但是当你还在编码之初时,你可能有很多漏洞。
扫描仪软件无法发现任何未链接的文件夹(html源中没有链接),除非通过猜测最热门的关键字。
- 建议让后端文件夹可以自由重命名(不包括在外面),并给它一个不常见的名称,甚至每个网站都有不同的名称。
- 如果您认为自己可能存在代码漏洞,则还可以使用Apache密码保护来保护该文件夹。
答案 2 :(得分:0)
或者,您可以使用HTTP身份验证来限制管理文件夹,这样黑客就需要在看到登录页面之前绕过http身份验证。这应该可以保证管理员的安全,以及像Acunetix这样的应用程序会通过它。
除此之外,您还可以确保管理员使用HTTPS以防止密码劫持。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?