WEB安全之.git文件夹

今天收到客户那边发过的一个函…

客户一个项目被上级查到有安全漏洞,源码都能被人家拉下来!!!
函中明确写明了是通过.git这个文件夹,使用脚本将源码拉下来了…

第一反应是这是什么操作,细想之后确实是可以的,每次commit都会在.git这个文件夹中记录,对这些提交进行解析
那轻轻松松得到源码了.

不过解决这个问题还是有很多办法的

  • 将这个文件夹删除,不建议,代码维护起来艰难.
  • 给这个文件夹减权,使web软件如Nginx无法访问,给个600这类的权限.
  • 将web入口文件放到里层目录中去(Laravel就是如此).