我的个人云盘,估计是和这个站点同时诞生的,之前都没注意云盘的安全性,今天访问云盘时却让我大吃一惊——云盘居然无需登录就能访问文件储存目录!
发现这一点时我想,幸好云盘上没有存个人文件,只是当作文件分享站在用。但我也在想为什么会出现这个如此严重的问题,用户可以直接访问我云盘的域名,然后在链接后加入我文件储存的目录,如加上“/uploads/文件分享/MinecraftInstaller.msi”,就可以直接访问到我储存的文件,并且弹出下载,可以不用登录直接下载!
因此我立即百度了下为啥会出现这种问题,发现原来是我的问题,我搭建云盘时根本没想到保护目录,禁止用户访问文件目录,才造成了可以直接通过链接下载文件。(看来我还是经验太少了……毕竟是个建站新人)
如何解决,可以通过更改nginx设置来禁止访问某个目录。
location ^~ /uploads {
return 404;
}
在nginx配置中添加上面的配置,即可让访问/uploads目录时全部返回404页面
看来个人搭建的云盘安全系数还是不太高,今后我也不在云盘里存重要文件了吧。如果大家也搭建了云盘,可以检查下有没有和我一样的问题。
发表回复