禁止公众访问.git

现在,几乎在每个Web项目和每个环境(包括生产环境)中,版本管理Git都是标准的。 Git总是创建子文件夹.git ,如果它位于网站的公共文件夹级别,则可以公开访问敏感文件(例如,调用/.git/logs/HEAD显示最后的提交) 。 详细说明了如何在没有目录列表的情况下克隆第三方(!)Git存储库。


为避免这种情况,在Apache服务器的情况下,.htaccess文件中对整个.git文件夹的访问受到限制,并发出404错误。 攻击者甚至不知道该文件夹存在:

32b39d7c9836a649597019300a5c2115

如果您正在运行NGINX服务器,请遵循以下规则:

32b39d7c9836a649597019300a5c2115

背部