我知道在提供网页时建议隐藏操作系统和服务器版本信息。package.json 或 bower.json 文件中包含的 js 库版本信息呢?看起来这可以用来通过查看已知漏洞来制造攻击。但是,我最终知道用户可以通过查看文件自己解决这个问题,所以值得吗?
编辑:无论安全问题如何,我也对什么是标准做法感兴趣。
我应该避免将 package.json 或 bower.json 文件部署到生产环境吗?
信息安全
Web应用程序
javascript
信息收集
2021-09-11 21:13:43
1个回答
允许访问您的 package.json 和类似文件将是一些信息泄露,因此通常应避免。在 JS 库存在已知漏洞的情况下,将其保留在 Web 根目录中将允许攻击者快速组装有效目标列表。
这不太可能是一个非常高风险的问题,但不向攻击者提供信息的一般原则是成立的,所以我想说它不应该以最终用户可以访问的形式投入生产。
就解决这一风险的标准做法而言。通常要么剥离这些文件作为部署过程的一部分,要么使用 .htaccess 之类的东西来阻止对它们的访问。
其它你可能感兴趣的问题