xin chào, tôi đang tạo một dự án laravel mới với máy chủ Openlitespeed và tôi thấy một vấn đề bảo mật nghiêm trọng.
Tôi đã thêm quy tắc sau vào .htaccess của thư mục gốc và nó hoạt động tốt bằng cách dừng khi ai đó cố tải xuống tệp .env bằng cách www.mywebsite.com/.env
Nhưng thật ngạc nhiên, có thể tải xuống tệp .env dễ dàng bằng cách truy cập IP của máy chủ, ví dụ: 127.0.0.1/.env
Directory Index index.php
# Vô hiệu hóa danh sách thư mục
Tùy chọn -Chỉ mục
<IfModule mod_rewrite.c>
<IfModule mod_negotiation.c>
Tùy chọn -MultiViews -Chỉ mục
</IfModule>
Viết LạiEngine Trên
<IfModule mod_ssl.c>
RewriteCond tắt %{HTTPS}
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
# Xử lý tiêu đề ủy quyền
RewriteCond %{HTTP:Authorization} .
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
# Chuyển hướng dấu gạch chéo nếu không phải là thư mục...
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} (.+)/$
RewriteRule ^ %1 [L,R=301]
RewriteCond %{THE_REQUEST} /index\.php/(.+)\sHTTP [NC]
RewriteRule ^ /%1 [NE,L,R]
# Gửi yêu cầu tới bộ điều khiển phía trước...
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteCond %{SCRIPT_FILENAME} !-f
RewriteRule ^ index.php [L]
RewriteCond %{REQUEST_URI} !^/public/
RewriteRule ^ index.php [L]
#RewriteRule !^(public/|index\.php) [NC,F]
# chặn các tệp cần ẩn // trong đây chỉ định phần mở rộng .example của tệp
<Files ~ "\.(env|json|config.js|md|gitignore|gitattribut|lock)$">
Lệnh cho phép, từ chối
Tư chôi tât cả
đáp ứng tất cả
</Tệp>
# ở đây chỉ định tên tệp đầy đủ sperator '|'
<Tệp ~ "(nghệ nhân)$">
Lệnh cho phép, từ chối
Tư chôi tât cả
</Tệp>
<Tệp *.php>
Lệnh từ chối, cho phép
Tư chôi tât cả
</Tệp>
<Tệp index.php>
Đặt hàng Cho phép, Từ chối
cho phép từ tất cả
</Tệp>
</IfModule>
cấu trúc gốc của dự án laravel là thế này https://i.stack.imgur.com/xSuaJ.jpg
Tôi giải quyết điều này như thế nào? Tôi có quyền chỉnh sửa httpd_config.conf
