В моем файле .htaccess я пытался выяснить, следует ли мне использовать:
Опции Нет
что, конечно, отключило бы все дополнительные параметры, но я читал неоднозначные мнения относительно использования "Options None", потому что некоторые люди утверждают, что + FollowSymlinks необходим для большей безопасности и производительности, в то время как некоторые люди утверждают, что FollowSymlinks - это большой риск безопасности.
Должен ли я использовать «Параметры Нет» для большей безопасности?
Спасибо!
Options None обеспечивает большую безопасность, потому что тогда нет возможности получить доступ за пределами корня документа через символические ссылки.
Это может иметь незначительное влияние на производительность. Мне нужно будет проверить, но, запретив символические ссылки, apache, возможно, придется lstat каждый файл, чтобы сначала определить, является ли это символической ссылкой.
Можете ли вы процитировать эти источники, которые утверждают, что использование символических ссылок повысит безопасность и производительность?
Изменить: однако имейте в виду, что запрет символических ссылок не является пуленепробиваемым. В руководстве по apache сказано: «Отсутствие этой опции не следует рассматривать как ограничение безопасности, поскольку тестирование символических ссылок зависит от условий гонки». То есть между временем lstat говоря, что это не ссылка, и когда apache читает ее, кто-то мог превратить ее в ссылку.
Помня о безопасности, рассмотрите возможность отключения .htaccess полностью, если это не требуется на вашем сайте. (AllowOverride НетЗатем вы можете установить свои параметры глобально в конфигурации Apache.
Тем не менее, символические ссылки не обязательно плохие, но вы должны иметь четкое представление о своей реализации Apache. Для Apache без chrooted символические ссылки, безусловно, представляют значительный риск раскрытия файлов за пределами корня вашего документа.