"インデックス..."ディレクトリリスト保護

Question

すべて！当社のサーバー上で

私たちは生徒と教師のための材料とディレクトリ「ファイル」を持っている：

http://sample.ru/files/4students/ 
http://sample.ru/files/4teacherszzz/ 
http://sample.ru/files/markszzz/ 
... 

各ディレクトリを、あなたのWebブラウザに入力したときを示し「は/ファイル/ 4studentsインデックス/ 'ファイル/サブディレクトリのリストを含むページ。

しかし、私たちは問題を抱えています。学生が「http://sample.ru/files/」と入力すると、他のすべてのフォルダが表示されます。しかし、学生は教師のファイル（フォルダ4teacherzzzとmarkszzz）を見てはいけません。

したがって、空のindex.htmlを/ files /に入れました。このURLを入力すると、生徒は他のフォルダを見ることができません。

これは質問です。「http://sample.ru/files/4students/」URLを知っている人なら誰でも、「http://sample.ru/files/」のURLのリストを取得できますか？ （ '/files/4students/../'という特殊なタイプの入力であるかもしれませんか？）そしてどうやって？これを否定する方法は？

問題は、それが教師のためのより便利である---私たちはそのフォルダシステムを離れなければならないということである（彼らは唯一のサーバー上のフォルダにファイルをコピーし、ファイルが自動的に表示されます「のインデックス...」ページ）

あなたの返信ありがとう！

Answer 1

ウェブサーバーのブランドに応じて - いいえ。通常の起点サーバー（Apache、IISなど）のほとんどのブランドは、../ ..と同様の不名誉な試みを崩壊させることに特に注意します。 （プロキシ/キャッシングと同様の非起源の使用のために最適化されたサーバの中には、そうすることができないものもあることに注意してください）。

しかし、関係なく、ドキュメントを非常に慎重に読んでください。また、ApacheやIISのようなほとんどのサーバーでは、このような特定の問題に固有の指示があることに注意してください。

「インデックス」を参照してください。

<Directory /something/> 
    option -Indexes 

...

ノートマイナスは - 非常に明示的に（ - またはも-FollowSymLinksを使用していますが、シンボリックリンクには注意してください）インデックスを無効にします。 http://httpd.apache.org/docs/2.0/mod/core.htmlは完全なストーリーを持っています。

は、ディレクトリ・パスの引数には注意してください：彼らは文字通り は、Apacheがファイルにアクセスするために使用するファイルシステムのパスと一致する必要が

チェック特にセクション「ディレクトリディレクティブ」とは、テキストに注意してください。 特定のディレクトリに適用されるディレクティブは、同じディレクトリから別のパス（ の異なるシンボリックリンクなど）でアクセスされるファイル には適用されません。

とそのすぐ下の例です。したがって、通常、下位レベルをロックダウン（-Indexes）してから、インデックスを許可している生徒のために1つのディレクトリ（一致）を作成します。

通常、index.htmlを追加する方法はうまくいきますが、これはmod_autoindexが適時にsnarfsするからです。上記の保証はありません。特に、MultiViewやその他のローカリゼーション/国際化、および類似の（言語/文字セット）バリアントがサーバーにある場合は保証されません。http://httpd.apache.org/docs/2.2/mod/mod_autoindex.htmlを参照してください。

希望します。

Dw。