Nginx 將 deny all 換成 return 404

2021 年 5 月 9 日2021 年 5 月 9 日日落尚無留言

以往不想要讓人索引、讀取的目錄和檔案都會設定成 deny all：

location ~ /\.git {
    deny all;
}

這樣設定的話，開啟該目錄就會收到 HTTP 403 Forbidden。這個訊息有二個含意：主機上面的確有這份資料、你沒有權限打開。

也就是，檔案在 URL 的連結已經確定了，只要繞過權限管理即可讀取檔案。

與其這樣，不如直接讓主機回傳 HTTP 404，這樣便無法知道檔案是否存在：

location ~ /\.git {
    return 404;
}

Nginx, 資訊安全