关于敏感文件或备份 安全配置错误 禁止通过 URL 访问 Vue 项目打包后的 .gz 压缩文件

要禁止通过 URL 访问 Vue 项目打包后的 .gz 压缩文件(如 sc.6abb69d9.css.gz)或其他敏感文件,可以通过 Nginx 配置Tomcat 配置双重防护来实现。以下是具体解决方案:


方法 1:通过 Nginx 配置禁止访问 .gz 文件

在 Nginx 的配置文件中(通常是 /etc/nginx/conf.d/your-site.conf/etc/nginx/sites-available/default),添加以下规则:

nginx 复制代码
server {
    listen 80;
    server_name xxx.mrt.cn;

    location ~* \.gz$ {
        deny all;
        return 404;
    }

    # 其他配置(如反向代理到 Tomcat)
    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}

作用

  • location ~* \.gz$ 匹配所有 .gz 文件请求。
  • deny all; 拒绝所有访问,返回 403 Forbidden
  • return 404; 可改为直接返回 404(更隐蔽)。

生效方式

bash 复制代码
sudo nginx -t    # 检查语法
sudo systemctl reload nginx  # 重新加载配置

方法 2:Tomcat 禁止直接访问静态资源

如果 Nginx 只是反向代理,而 .gz 文件实际存放在 Tomcat 的 webapps/ROOT 目录下,可以通过 Tomcat 的 web.xml 限制访问:

  1. 编辑 conf/web.xml,在 <web-app> 标签内添加:
xml 复制代码
<security-constraint>
    <web-resource-collection>
        <web-resource-name>Block gz files</web-resource-name>
        <url-pattern>*.gz</url-pattern>
    </web-resource-collection>
    <auth-constraint>
        <role-name>none</role-name> <!-- 拒绝所有角色访问 -->
    </auth-constraint>
</security-constraint>
  1. 重启 Tomcat:
bash 复制代码
sudo systemctl restart tomcat

方法 3:Vue 构建时不生成 .gz 文件(推荐)

如果不需要 HTTP 服务器自动提供 .gz 压缩文件,可以在 Vue 的构建配置中禁用 gzip 压缩:

  1. 修改 vue.config.js
js 复制代码
module.exports = {
    chainWebpack: (config) => {
        config.plugins.delete('compression'); // 移除 gzip 压缩插件
    }
};
  1. 重新构建并部署:
bash 复制代码
npm run build

这样构建后的 dist 目录不会生成 .gz 文件,从根本上解决问题。


方法 4:服务器文件系统权限控制

直接限制 Linux 文件系统的访问权限:

bash 复制代码
# 进入 Tomcat 的静态资源目录
cd /path/to/tomcat/webapps/ROOT/static/css

# 移除 .gz 文件(谨慎操作!)
rm *.gz

# 或修改权限,禁止 Nginx/Tomcat 用户读取
chmod 600 *.gz  # 仅所有者可读,其他用户无权限

安全加固建议

  1. 隐藏服务器信息
    在 Nginx 中关闭 Server 头:

    nginx 复制代码
    server_tokens off;
  2. 禁用目录列表
    防止目录遍历攻击:

    nginx 复制代码
    location / {
        autoindex off;
    }
  3. 日志监控
    检查 Nginx 访问日志,排查异常请求:

    bash 复制代码
    tail -f /var/log/nginx/access.log | grep '\.gz'

最终方案推荐

  • 短期修复 :用 Nginx 的 deny 规则(方法 1)快速拦截请求。
  • 长期解决修改 Vue 构建配置 (方法 3),避免生成不必要的 .gz 文件。
  • 深度防护 :结合 Tomcat 安全约束 (方法 2)和 文件权限控制(方法 4)。

以上方法可有效防止敏感文件泄露,符合 A5 安全配置错误(敏感信息泄露)的修复要求。

相关推荐
不听话坏6 小时前
Ignition篇(下 一) 动态执行前的事情
开发语言·前端·javascript
likeyi076 小时前
require 和 import的区别
开发语言·前端
pany6 小时前
做 AI 友好的开源 Vue3 模板 🌈
前端·vue.js·ai编程
小二·7 小时前
React 19 + Next.js 15 现代前端开发实战:App Router / Server Components / 流式渲染
前端·javascript·react.js
daols888 小时前
vue 甘特图 vxe-gantt 小时视图设置日期轴每间隔 3 个小时
vue.js·甘特图·vxe-gantt
谙忆10248 小时前
前端图片直传对象存储:OSS/S3 预签名 URL、STS 临时凭证与回调校验
前端
CHNE_TAO_EMSM9 小时前
Android studio 打开文件时自动下载源码
前端·javascript·android studio
xixixi777779 小时前
产业全景解读:太空算力、国产芯、国产大模型、6G 空天地、AI 可信身份、后量子安全多线全面突破
人工智能·安全·ai·大模型·数据中心·通信·运营商
m0_466525299 小时前
新品发布 | 绿盟安全智算一体机,构建“算力、调度、安全“深度融合的AI基础设施
人工智能·安全
hz5678910 小时前
内网视频会议系统建设方案:适合政企单位的安全会议选择
安全·云计算·音视频·实时音视频·信息与通信