存档之: 六月 2008, 04
b2e安装过程中的两个安全问题
最近注意到前面写的b2e安装攻略中忘了提到,安装顺利完成之后,一定要把安装文件从服务器上删除,或者将安装文件夹/blogs/install改名。这一点英文的安装说明已经强调过了。
另外,由于b2e使用一个媒体目录存放博主上传的文件。在某些服务器上,这个媒体目录的缺省设置是可供浏览。这样,用户可以任意浏览博主上传的文件与图片,而不管博主是否已经在相应的帖子里发布或者删除了对这些文件的连接。
使用.htaccess,可以关闭对b2e所有目录的浏览。具体的做法是,在b2e的安装目录下,修改或者设置一个.htaccess文件,加入以下内容:
Options -Indexes
使用IIS服务器的,可以在网站属性把有关目录索引的选项去掉,也可以达到同样的效果。
最近评论