2. 程式人生 > >nginx+php使用open_basedir限制站點目錄防止跨站

nginx+php使用open_basedir限制站點目錄防止跨站

阿新 發佈:2018-12-23
以下三種設定方法均需要PHP版本為5.3或者以上。

方法1)在Nginx配置檔案中加入
fastcgi_param  PHP_VALUE  "open_basedir=$document_root:/tmp/:/proc/";
通常nginx的站點配置檔案裡用了include fastcgi.conf;,這樣的,把這行加在fastcgi.conf裡就OK了。
如果某個站點需要單獨設定額外的目錄,把上面的程式碼寫在include fastcgi.conf;這行下面就OK了,會把fastcgi.conf中的設定覆蓋掉。
這種方式的設定需要重啟nginx後生效。

方法2)在php.ini中加入:
[HOST=www.server110.com]
open_basedir=/home/www/www.server110.com:/tmp/:/proc/ [PATH=/home/www/www.server110.com] open_basedir=/home/www/www.server110.com:/tmp/:/proc/
這種方式的設定需要重啟php-fpm後生效。

方法3)在網站根目錄下建立.user.ini並寫入:
open_basedir=/home/www/www.server110.com:/tmp/:/proc/
這種方式不需要重啟nginx或php-fpm服務。安全起見應當取消掉.user.ini檔案的寫許可權。
關於.user.ini檔案的詳細說明:
http://php.net/manual/zh/configuration.file.per-user.php


設定open_basedir的同時最好禁止下執行命令的函式,比如:
shell_exec('ls /etc')仍然檢視到/etc目錄的檔案列表
shell_exec('cat /etc/passwd')仍可檢視到/etc/passwd檔案的內容

建議禁止的函式如下:
disable_functions = pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority, eval, popen, passthru, exec, system, shell_exec, proc_open, proc_get_status, chroot, chgrp, chown, ini_alter, ini_restore, dl, pfsockopen, openlog, syslog, readlink, symlink, popepassthru, stream_socket_server, fsocket, chdir

http://www.server110.com/nginx/201308/477.html

http://bbs.csdn.net/topics/390979175

相關推薦

nginx+php使用open_basedir限制站點目錄防止

以下三種設定方法均需要PHP版本為5.3或者以上。方法1)在Nginx配置檔案中加入 fastcgi_param  PHP_VALUE  "open_basedir=$document_root:/tmp/:/proc/"; 通常nginx的站點配置檔案裡用了in

nginx+php 限制每個站點目錄範圍,防止

今天偶然發現,在php指令碼中可以訪問伺服器上任何目錄。 頓時一身冷汗啊。。 於是就上百度谷歌了半天,一開始就找到了一個php.ini中的open_basedir引數,設定這個引數即可限定php指令碼的訪問範圍。 我們針對每個站點,需要php能夠訪問該站點所在目錄以及/tm

nginx自定義站點目錄及簡單編寫開發網頁內容講解

linux[[email protected]/* */ conf]# egrep -v "^$|#" nginx.conf.default >nginx.conf[[email protected]/* */ conf]# pwd/application/nginx/conf[

防止攻擊(tornado)

為了防止XSRF,要求每一個請求必須通過一個cookie頭和一個隱藏表單向頁面提供令牌,這樣網站才認為請求有效。 開啟tornado的XSRF功能有兩個步驟: 1.在例項化tornado.web.Application時傳入xsrf_cookies=True引數: App = torna

php open basedir設定防止

通過在網站掛馬,進入到PHP的目錄,如果PHP打開了scandir方法的話,可以直接通過目錄一級一級的像上面進入,此操作會造成很大的風險。 下面給出PHP的木馬檔案 <?php //ini_set('display_errors',1); @erro

ASP.NET Core 防止請求偽造(XSRF/CSRF)攻擊

什麼是反偽造攻擊? 跨站點請求偽造(也稱為XSRF或CSRF,發音為see-surf)是對Web託管應用程式的攻擊,因為惡意網站可能會影響客戶端瀏覽器和瀏覽器信任網站之間的互動。這種攻擊是完全有可能的,因為Web瀏覽器會自動在每一個請求中傳送某些身份驗證令牌到請求網站。這種攻擊形式也被稱為 一鍵式攻擊 或 會

Spring security防止請求偽造(CSRF防護)

因為使用了spring security 安全性框架 所以spring security 會自動攔截站點所有狀態變化的請求(非GET,HEAD,OPTIONS和TRACE的請求),防止跨站請求偽造(CSRF防護),即防止其他網站或是程式POST等請求本站點。 如果是POS

防止攻擊——CSRFToken

怎麼防止跨站攻擊:表單:在 Form 表單中新增一個隱藏的的欄位,值是 csrf_token。非表單:在ajax獲取資料時,新增headers:{ 'X-CSRFToken':getCookie('csrf_token') }。原理:在瀏覽器訪問網站A時,網站A設定cooki

.NET Core實戰專案之CMS 第十四章 開發篇-防止請求偽造(XSRF/CSRF)攻擊處理

通過 ASP.NET Core,開發者可輕鬆配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、資料保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等等安全方面的處理。 通過這些安全功能,可以生成安全可靠的 ASP.NET Core 應用。而我們這一章就來說道說道如何在

.NET Core實戰項目之CMS 第十四章 開發篇-防止請求偽造(XSRF/CSRF)攻擊處理

部分 不錯 腳本註入 move 跟著 attribute 存在 serve 下一個 通過 ASP.NET Core,開發者可輕松配置和管理其應用的安全性。 ASP.NET Core 中包含管理身份驗證、授權、數據保護、SSL 強制、應用機密、請求防偽保護及 CORS 管理等

VS2008.NET對ashx頁面防止攻擊(XSS)

首先,給大家貼出解決方案,很簡單,只需要加一句程式碼就OK。 context.Request.ValidateInput(); 最近專案中做了一個ashx的頁面向其他人提供一個ajax的介面,介面呼叫使用到了jsonp的方式,當時也沒考慮太多,直接將接收到的引數原樣寫回到

SSM框架搭建網站防止指令碼攻擊(一)

第一篇 1. 個人網站使用SSM框架搭建的,上線前使用IBM Security AppScan Standard掃描漏洞出現跨站指令碼攻擊。 修復方案  普遍的解決方案是新增攔截器。 1.在專案中新建一個攔截器 XssFilter .java impo

AngularJS配置xsrftoken(django防止)以及防止與django模板衝突的配置

在AngularJS的app中做如下配置即可: 例如app是QueueApp: var queueApp = angular.module("QueueApp",["QueueService"]);

nginx防盜鏈+訪問控制+限制指定目錄運行php+解析支持php+現在user_agent

訪問控制 防盜鏈 限制目錄允許php 支持php 限制agent nginx防盜鏈 作用:防止其他網站引用本web站圖片與視頻資源,導致本站流量過大,從而造成不必要的經濟開支;比如:本網站test.com有圖片文件1.gif,而B網站使用test.com/1.gif 引用我們的圖片,那麽本

nginx站點目錄及文件URL訪問控制

test stat com bash 配置 .html nginx配置 python程序 chm 一、根據擴展名限制程序和文件訪問 利用nginx配置禁止訪問上傳資源目錄下的PHP、Shell、Perl、Python程序文件。 配置nginx,禁止解析指定目錄下的指定程序。

nginx——優化 Nginx 站點目錄

禁止解析指定目錄下的指定程式 location ~ ^/data/.*.(php|php5|sh|pl|py)$ { # 根據實際來禁止哪些目錄下的程式,且該配置必須寫在 Nginx 解析 PHP 的配置前面 deny all; } 禁止訪問指定目錄

nginx下的檔案目錄列表瀏覽,IP訪問限制,訪問驗證實現

1.檢視詳情:http://tengine.taobao.org/nginx_docs/cn/docs/ 選擇下面這個模組: ngx_http_autoindex_module  此模組用於自動生成目錄列表,只在 ngx_http_index_module模組未找到索引檔案時發出請

nginx 下配置使用Thinkphp5解決目錄活動並且設定網站根目錄

由於TP5框架的一些特性規則,在nginx下導致跨目錄的一些訪問不能執行 最開始我嘗試配置資料夾目錄,導致出現各種奇葩錯誤,然後搜了以下資料發現原來只要簡單的修改幾個配置檔案即可。 宣告系統環境: **

Nginx作為靜態資源web服務_訪問場景配置

Nginx作為靜態資源web服務_跨站訪問場景配置 跨域訪問場景演示 設施準備:兩臺雲伺服器 or 建立兩臺虛擬伺服器(VMWare、VirtureBox等) (1)騰訊雲伺服器上新增CSRF.html檔案 使用JQuery Ajax請求模擬跨域訪問: CSRF.

Nginx作為靜態資源web服務_訪問

Nginx作為靜態資源web服務_跨站訪問 1、跨域訪問          瀏覽器同時訪問多個域名   2、為什麼瀏覽器禁止跨域訪問?        不