禁止直接访问INI和XML文件

10

一些网站所有者不希望人们（尤其是竞争对手）知道他们网站上的功能。

因为某些语言或配置文件中的敏感信息可以直接从浏览器访问，例如。

administrator/components/com_bank/language/en-GB/en-GB.com_bank.ini
administrator/components/com_bank/config.xml
components/com_bank/models/forms/transaction.xml

尽管只有了解Joomla的技术人员才能找到这些链接，进行访问并找出（或猜测）网站的功能，但是网站所有者希望所有内容都保密。

那么，是否有任何服务器端解决方案或任何Joomla扩展禁止直接访问这些INI和XML文件？

cms security

— 洪特兰
source

13

将此指令放入.htaccess文件中：

<FilesMatch ".(ini|xml)$">
  order allow,deny
  deny from all
</FilesMatch>

— 德米特里·雷昆（Dmitry Rekun）
source

谢谢！结果是出现403禁止错误“禁止您无权访问此服务器上的...”。

— Hung Tran 2014年

6

您可以使用RewriteRule扩展Joomla的.htaccess文件，以获取那里的文件类型。

一个简单的可能是

RewriteRule \.xml$ index.php [L]
RewriteRule \.ini$ index.php [L]

这些规则检查请求的结尾是“ .xml”还是“ .ini”，并将请求重写为index.php。[L]表示最后一条规则。

你应该把它放在

## Begin - Custom redirects

— 哈拉德·莱特纳（Harald Leithner）
source

我尝试了这个，结果是我的主页没有加载CSS样式。

— Hung Tran 2014年

您的CSS文件是否以xml或ini结尾？

— Harald Leithner 2014年

它们不是，其扩展名为.css。我使用全新的Joomla安装进行了测试。

— Hung Tran 2014年

3

Joomla扩展名是错误的方法，因为当您直接访问服务器上的文件时不涉及Joomla。

您可以使用.htaccess或在服务器配置中轻松实现所需的功能。这样的事情应该可以解决问题：

<Files  ~ "\.xml$">
  Order allow,deny
  Deny from all
</Files>

取自http://www.ducea.com/2006/07/21/apache-tips-tricks-deny-access-to-certain-file-types/

— 巴库尔
source