我想知道是否有任何好的方法来防止直接访问html文件在Fat Free框架…
所以预期的方式是调用像/login这样的路由。但是,在默认配置下,用户也可以访问/ui/login.html并直接获取html文件,最终显示用户不应该看到的{{@variable}}内容…
不幸的是,到目前为止,我没有找到一种方法来防止这种情况,既没有直接使用PHP方法,也没有进入Fat Free框架。这是怎么做到的呢?
这可以通过一些.htaccess魔法来完成,其中任何对.htm[l]文件的访问都会发送404,但正确的方法是将它们从公共目录中取出。就像你刚才指出的,那些未渲染的文件存在安全风险。通常一个应用程序是这样设置的:
app/
config/
controllers/
ui/
mappers/
etc...
public/
index.php (where your fat free index file is that defines your autoloads, config, etc)
vendor/
(composer stuff)
如果我是你,我会把你的/ui/文件移到公共文件夹外的文件夹,然后把UIhive变量改为指向__DIR__.'/../app/ui/'这样的东西,最终解决你的问题。
另外,我希望你的配置文件不在公共文件夹中!这也不应该存在(或者提交到代码库中!)