-
限制
alias
指令的使用: 使用alias
指令时,确保路径不会导致路径遍历漏洞。避免使用用户输入作为alias
的一部分。 -
组合使用
root
和alias
server {
root /var/www;
location /static {
alias /var/www/public/static;
}
} -
避免使用
merge_slashes
: 如果你的应用程序不需要处理重复斜杠的 URI,避免使用merge_slashes on;
。这可以防止一些路径遍历攻击。