我在我的 Twig 模板中使用图像的/bundles/路径, 例如
<link href="{{ asset('bundles/acmedemo/css/contact.css') }}" rel="stylesheet" />
<img src="{{ asset('bundles/acmedemo/images/image.jpg') }}">
<img src="/bundles/acmedemo/images/image.jpg">
这是否存在任何安全风险,用户可能会知道我正在使用 symfony fw,并利用某些东西,或者用户可能会知道我的包名称,谁知道这会导致什么,或者用户可能会能够热链接我知道可以通过服务器设置纠正的文件,但是就混淆和安全性而言,这样做有什么问题吗?
请注意,我正在基于此 fw 开发一个企业站点,并且我必须遵守保密等规定,它不像一个开源包或任何东西。
最佳答案
好问题。
理论上不应该。 Symfony 应该足够安全,这样即使知道您正在使用 Symfony 和/或什至您正在运行的确切版本,黑客仍然无法破坏您的应用程序。 (假设您已正确配置所有内容,包括您的网络服务器等)
但是,实际上,您的代码或某些供应商的代码中始终存在漏洞的可能性。您可能确实希望通过隐藏您正在使用的框架来让潜在的攻击者更容易一些,这样即使您的应用程序中存在漏洞,攻击者也不会知道您正在使用特定的无需首先尝试所有可能性的框架。
一篇关于这个主题的有趣文章是 Hide your Web stack .它基本上提供了以下提示,不仅可以混淆 Symfony 的使用,还可以混淆 PHP 和 Apache(或您正在使用的任何网络服务器)的使用:
app_dev.php 和 config.php,以及创建自定义错误页面。app.php 或配置 Web 服务器以在有人尝试直接访问 app.php 时返回 404,因为文件名将表明使用了 Symfony。 /bundles/etc 是 Symfony 的特色。例如,在安装 Assets 时使用 app/console assets:install path,将 path 替换为自定义位置。X-Powered-By)。这可以通过将 expose_php = off 添加到 php.ini 来完成。您甚至可能想更进一步,不仅要隐藏应用程序的详细信息,还要将其伪装成其他东西。例如,您可以将 PHP 伪装成另一种脚本语言,希望攻击者尝试该语言的某些特定漏洞,并在多次尝试不成功后放弃。但是,你应该小心,只有在你确定没有意外的副作用时才这样做。另外,不要忘记,如果您的实际软件和您伪装的软件都存在相同的漏洞,那么您又回到了起点...
关于php - Assets 的 using/bundles/path 是否存在任何安全风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23378369/
我正在使用i18n从头开始构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在rubyonrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
刚入门rails,开始慢慢理解。有人可以解释或给我一些关于在application_controller中编码的好处或时间和原因的想法吗?有哪些用例。您如何为Rails应用程序使用应用程序Controller?我不想在那里放太多代码,因为据我了解,每个请求都会调用此Controller。这是真的? 最佳答案 ApplicationController实际上是您应用程序中的每个其他Controller都将从中继承的类(尽管这不是强制性的)。我同意不要用太多代码弄乱它并保持干净整洁的态度,尽管在某些情况下ApplicationContr
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我已经像这样安装了一个新的Rails项目:$railsnewsite它执行并到达:bundleinstall但是当它似乎尝试安装依赖项时我得到了这个错误Gem::Ext::BuildError:ERROR:Failedtobuildgemnativeextension./System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/bin/rubyextconf.rbcheckingforlibkern/OSAtomic.h...yescreatingMakefilemake"DESTDIR="cleanmake"DESTDIR="
我试图在索引页中创建一个超链接,但它没有显示,也没有给出任何错误。这是我的index.html.erb代码。ListingarticlesTitleTextssss我检查了我的路线,我认为它们也没有问题。PrefixVerbURIPatternController#Actionwelcome_indexGET/welcome/index(.:format)welcome#indexarticlesGET/articles(.:format)articles#indexPOST/articles(.:format)articles#createnew_articleGET/article
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查