fastadmin 如何限制访问public\assets\libs目录下面的所有html文件

在 FastAdmin 框架中,限制访问 public/assets/libs 目录下的特定文件(如 HTML 文件),最安全、高效的做法是直接在 Web 服务器层(Nginx 或 Apache)进行拦截配置。这比通过 PHP 路由处理性能更好,也能避免不必要的请求进入框架。

以下是针对不同服务器的具体配置方法:

方案一:使用 Nginx(推荐)

如果您使用的是 Nginx,可以在站点的配置文件(或在宝塔面板的"伪静态/配置文件"中)添加以下规则。该规则会匹配 assets/libs 目录下所有以 .html 结尾的请求,并直接返回 403 Forbidden

复制代码
location ~* ^/assets/libs/.*\.html$ {
    deny all;
}

说明:~* 表示不区分大小写的正则匹配,确保无论后缀是 .html 还是 .HTML 都会被拦截。

方案二:使用 Apache

如果您的环境是 Apache,可以在项目的 public/.htaccess 文件中添加以下代码来实现拦截:

复制代码
<FilesMatch "\.html$">
    # 仅针对 assets/libs 目录生效
    <IfModule mod_authz_core.c>
        Require all denied
    </IfModule>
    <IfModule !mod_authz_core.c>
        Order allow,deny
        Deny from all
    </IfModule>
</FilesMatch>

或者更精确地限制路径:

复制代码
RewriteEngine On
RewriteRule ^assets/libs/.*\.html$ - [F,L]

(注:[F,L] 中的 F 代表返回 403 Forbidden,L 代表停止后续重写规则)

⚠️ 补充安全建议

根据 FastAdmin 的安全规范,除了限制 HTML 文件的访问外,还强烈建议您注意以下几点:

  1. 禁止脚本执行 :务必确保 uploadsassets 等公开可写目录没有 PHP 脚本的执行权限 。例如在 Nginx 中应配置 location ~ ^/(uploads|assets)/.*\.(php|php5|jsp)$ { deny all; },以防止恶意脚本被上传并执行。
  2. 强制下载而非预览 :对于可能包含敏感信息的文本类文件(如 txt、pdf 等),建议在服务器配置中添加 Content-Disposition: attachment 响应头,强制浏览器下载而不是在线渲染,防止 XSS 攻击。
相关推荐
‘’林花谢了春红‘’21 小时前
小玩意 生日快乐
css·html·css3
IpdataCloud1 天前
跨区服玩家延迟高怎么办?用IP离线库自动分配到最近服务器
数据库·tcp/ip·github·php·ip
辣椒思密达1 天前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
bitbrowser1 天前
Claude 账号频繁被封?转向国内可直接使用的 AI 工具
开发语言·php
2501_912784081 天前
Laravel 多渠道代购订单聚合队列踩坑实战,解决跨平台漏单与同步
php·laravel·taocarts
2401_854151551 天前
嵌入式 Bootloader 与 OTA 固件升级深度解析——从 Flash 分区到安全回滚
开发语言·stm32·单片机·嵌入式硬件·安全·php
石像鬼₧魂石1 天前
【Y2Ksoft】四季贵州水世界乐园管理系统 —— 玻璃拟态 · 单文件HTML · 开箱即用
前端·html
梨想橙汁1 天前
吃透HTML5:从基础标签到核心新特性全覆盖
html
石像鬼₧魂石1 天前
【Y2Ksoft】贵阳陈桥饭店ERP管理系统
大数据·前端·物联网·html·数据库架构
逝水无殇1 天前
HTML 元素详解
开发语言·前端·html