01
背 景
bug收集上的一篇帖子,关于 " 网页漏洞扫描:暴露系统路径 "
暴露系统路径,对于网页运行没有影响,但是安全性上还是有一定的风险
所以,如果你的网站要在某些平台上线,那平台会对网站安全进行检测,其中路径信息就是其中的一块,如下图:
所以,这篇文章,我们就来讨论一下,如何隐藏 "浏览器访问路径"
02
如何隐藏网页的实际路径
可以通过框架网页、隐藏URL转发、伪静态(推荐)的方式来隐藏网页的实际路径。
伪静态又称作“UrlRewrite”或者“地址重写”
伪静态的优点
一:提高安全性,可以有效的避免一些参数名、ID等完全暴露在用户面前,如果用户随便乱输的话,不符合规则的话直接会返回个404或错误页面,这比直接返回500或一大堆服务器错误信息要好的多
二:美化URL,去除了那些比如*.do之类的后缀名、长长的参数串等,可以自己组织精简更能反映访问模块内容的URL
三:更有利于搜索引擎的收入,通过对URL的一些优化,可以使搜索引擎更好的识别与收录网站的信息
03
Nginx URL重写(rewrite)配置
rewrite语法格式及参数语法说明如下:
rewrite <regex> <replacement> [flag];
关键字 正则 替代内容 flag标记
关键字:其中关键字error_log不能改变
正则:perl兼容正则表达式语句进行规则匹配
替代内容:将正则匹配的内容替换成replacement
flag标记:rewrite支持的flag标记
代码如下:
代码语言:javascript复制server {
listen 80;
server_name abc.com;
rewrite ^/(.*) http://www.abc.com/$1 permanent;
}更加详细操作,可参考:
https://www.cnblogs.com/czlun/articles/7010604.html
