ChrisKim
Do not go gentle into that good night.
昊天博客

搭建个人云盘的错误操作

我的个人云盘,估计是和这个站点同时诞生的,之前都没注意云盘的安全性,今天访问云盘时却让我大吃一惊——云盘居然无需登录就能访问文件储存目录!

发现这一点时我想,幸好云盘上没有存个人文件,只是当作文件分享站在用。但我也在想为什么会出现这个如此严重的问题,用户可以直接访问我云盘的域名,然后在链接后加入我文件储存的目录,如加上“/uploads/文件分享/MinecraftInstaller.msi”,就可以直接访问到我储存的文件,并且弹出下载,可以不用登录直接下载!

因此我立即百度了下为啥会出现这种问题,发现原来是我的问题,我搭建云盘时根本没想到保护目录,禁止用户访问文件目录,才造成了可以直接通过链接下载文件。(看来我还是经验太少了……毕竟是个建站新人)

如何解决,可以通过更改nginx设置来禁止访问某个目录。

location ^~ /uploads {
    return 404;
}

在nginx配置中添加上面的配置,即可让访问/uploads目录时全部返回404页面

看来个人搭建的云盘安全系数还是不太高,今后我也不在云盘里存重要文件了吧。如果大家也搭建了云盘,可以检查下有没有和我一样的问题。

本文链接:https://www.chriskim.cn/1474.html
本文使用:CC BY-NC-SA 4.0 许可
#
首页      随笔      搭建个人云盘的错误操作

发表评论

textsms
account_circle
email

  • 哈哈哈,我之前早就跟你说过了,你好像没当回事awa

    6月前 回复

昊天博客

搭建个人云盘的错误操作
我的个人云盘,估计是和这个站点同时诞生的,之前都没注意云盘的安全性,今天访问云盘时却让我大吃一惊——云盘居然无需登录就能访问文件储存目录! 发现这一点时我想,幸好云盘上没有存…
扫描二维码继续阅读
2020-08-18