现在,几乎在每个Web项目和每个环境(包括生产环境)中,版本管理Git都是标准的。 Git总是创建子文件夹.git ,如果它位于网站的公共文件夹级别,则可以公开访问敏感文件(例如,调用/.git/logs/HEAD显示最后的提交) 。 它详细说明了如何在没有目录列表的情况下克隆第三方(!)Git存储库。
为防止这种情况,对于Apache服务器,在.htaccess文件中限制了对整个.git文件夹的访问,并发出404错误。 攻击者也不知道该文件夹是否存在:
32b39d7c9836a649597019300a5c2115
如果您正在运行NGINX服务器,请遵循以下规则:
32b39d7c9836a649597019300a5c2115