Управление версиями Git теперь является стандартом почти для каждого веб-проекта и в любой среде (включая производственную). Git всегда создает подпапку .git, и если она находится на уровне общедоступной папки веб-сайта, вы можете публично получить доступ к конфиденциальным файлам (например, вызов /.git/logs/HEAD показывает последние коммиты) . В нем подробно объясняется, как можно клонировать сторонний (!) Репозиторий Git без списка каталогов.
Чтобы предотвратить это, в случае сервера Apache доступ ко всей папке .git ограничен в файле .htaccess, и выдается ошибка 404. Злоумышленник не знает, что папка существует.:
32b39d7c9836a649597019300a5c2115
Если у вас запущен сервер NGINX , эти правила делают это:
32b39d7c9836a649597019300a5c2115