对于nginx来说有3种方法可以防跨站请求
方法1
在nginx的php配置中或者在包含的 include fastcgi.conf 文件中加入:
fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/";
方法2
在php.ini
中配置open_basedir
选项
open_basedir=/home/www/www.aaa.com:/home/www/www.bbb.com:/tmp/:/proc/
方法3
使用php5.3.3新增的.user.ini
配置文件
在网站根目录下创建一个.user.ini
隐藏文件,然后写入
open_basedir=/home/www/www.aaa.com:/tmp/:/proc/
这个文件名可以通过php.ini
文件中的user_ini.filename
选项来修改名称,以及可以通过user_ini.cache_ttl
来修改生效时间,默认是300秒。
而且这个文件最好关闭修改属性,防止内容被篡改,使用如下命令
chattr +i .user.ini // 关闭文件修改权限,root用户也不能修改
如果需要修改内容使用
chattr -i .user.ini
然后进行内容修改,修改完成后别忘记把i
权限加回来,保证安全。具体请man chattr
以及man lsattr
Apache
方法1
在虚拟主机配置文件中使用php_admin_value open_basedir
来进行限制
<VirtualHost *:80>
ServerAdmin admin@example.com
DocumentRoot "/srv/code/laravel/public"
ServerName laravel.dev
php_admin_value open_basedir "/srv/code/laravel:/tmp/:/proc/" #这里进行限制
#省略...
<Directory "/srv/code/laravel/public">
//省略...
</Directory>
</VirtualHost>
方法2
在.htaccess
文件中进行设置(目前还没研究到)
http://php.net/manual/zh/ini….
https://lnmp.org/faq/lnmp-vho…