我有一个这样的重写规则:
RewriteCond %{DOCUMENT_ROOT}/cache/%{REQUEST_URI} -f
RewriteRule ^(.*)$ cache/$1 [QSA,PT,L]
此规则的简要说明:它检查缓存目录中是否存在请求的文件。如果是,则它为缓存目录提供服务。
例如,对http://somehost.tld/about.html的请求 将从http://somehost.tld/cache/about.html 提供(如果该文件存在)。
我担心的是 RewriteRule 是否不安全。是否有人可以请求这样的 URL,其中包含两个句点以向上移动目录:
http://somehost.tld/../../private_file.txt
那么导致 private_file.txt 从我的 apache 公用文件夹上方的目录中提供服务?
我正在考虑将 Rails 应用程序从共享主机提供商转移到专用服务器或 Linode、SliceHost、Webbynode 等服务,如果我理解正确,服务器的安全性完全取决于您。
对于共享主机,我习惯于没有root 访问权限,因此防火墙和大多数其他安全问题往往由托管公司处理。
所以我担心的是转移到我(服务器管理员新手)负责安全的服务器。我很想请一位专业的服务器管理员来处理这个问题,但是这是不可能的。
有人知道像 SliceHost 或 Webbynode 这样由提供商管理安全性的负担得起的服务吗?我看过 Heroku,但由于 SSL 完整证书要求,目前我买不起。
或者,是否有人知道服务器图像是否可用于 Linode/SliceHost/Webbynode/其他安全性得到照顾或变得更简单的地方?
(我想我主要担心的是我是一名网络应用程序开发人员,他认为他最终会花费更多时间来保护服务器而不是编码。也许我什么都担心。)