Отключить списки каталогов с 404 вместо 403

9

Я отключил списки каталогов, как так ...

Options -Indexes

Когда я пытаюсь получить доступ к каталогу, как это: -

www.example.com/secret/

Я получаю 403 Запрещенный ответ.

Однако я хочу получить ответ 404 Not Found , чтобы хакеры не могли так легко угадать мою структуру каталогов. Как бы я это сделал?

apache-2.2 security directoryindex

— Рик Хейвуд
источник

ru.wikipedia.org/wiki/Security_through_obscurity

— ThatGraemeGuy

Я понимаю это, но нет никакого смысла облегчать это кому-либо, тем более, что для того, чтобы сделать его труднее, требуется очень мало усилий.

— Рик Хейвуд

8

Включите mod_rewrite и AllowOverride в / секретном. Затем создайте .htaccess:

RewriteEngine On
RewriteBase   /secret
RewriteRule   ^$ - [R=404,L]

— ooshro
источник

3

Я искал в интернете ответ на аналогичную проблему. Хотя mod_rewrite является возможным решением, я считаю, что наилучшее решение использует директиву RedirectMatch.

См. StackOverflow: проблема с перенаправлением 403 запрещено 404 не найден

— Kevin
источник

1

Создайте собственный сценарий 403, который вместо этого возвращает ошибку 404.

Например, в PHP:

<?php
header("HTTP/1.0 404 Not Found");
die("<h1>404 Not Found</h1>");
?>

Теперь настройте Apache для использования этого скрипта для 403 результатов:

ErrorDocument 403 /403.php

Нет переписывает переписывает, и он мгновенно работает для всего сервера.

— Джеральд Шнайдер
источник

Разве это все еще не будет отображаться как 403 для людей, очищающих сервер?

— IRGeekSauce

1

Нет. Сервер ответит с правильной ошибкой 404 из-за header()команды.

— Джеральд Шнайдер

-1, потому что ваше пользовательское сообщение об ошибке может быть! = Сообщение об ошибке вашего сервера (будь то nging или apache или что-то еще). Это последнее решение, если нет способа сконфигурировать ваш сервер или использовать файлы .htaccess. Кроме того, это решение не помешает DirBustering вашему веб-сайту, потому что вы все еще можете различать такие «пользовательские сообщения об ошибках» из сообщений об ошибках сервера.

— Awaaaaarghhh

0

Мое решение прекратить отображать содержимое каталога в виде списка и отображать ошибку 404 просто. Создайте файл .htaccess в корневом каталоге вашего проекта и напишите, какие каталоги должны быть защищены.

Структура каталогов

- your_root_directory
  - .htaccess
  - 404.html
  - index.html 
  - app
    - other files I do not want to show
  - models
    - other files I do not want to show

.htaccess

RewriteEngine On
RewriteRule   ^app/ - [R=404,L]
RewriteRule   ^models/ - [R=404,L]

ErrorDocument 404 /your_root_directory/404.html

Вторая строка .htaccess запрещает доступ к элементам списка в каталоге приложения и всех его подкаталогах.

Третья строка .htaccess запрещает доступ к элементам списка в каталоге моделей и всех его подкаталогах.

Четвертая строка .htaccess устанавливает нашу собственную ошибку 404 (если вы не хотите показывать ошибку по умолчанию apache).

Не забудьте очистить кеш в вашем браузере при работе с htaccess.

— Без имени
источник

-2

Используйте .htaccess для маскировки ошибок. Смотрите это руководство:

http://www.tarahost.net/pages/web-design/29371.php

— ed209
источник

3

Хотя это может теоретически ответить на вопрос, было бы предпочтительным включить сюда основные части ответа и предоставить ссылку для справки. Эта ссылка теперь мертва и, следовательно, этот ответ теперь бесполезен

— Марк Хендерсон