Из соображений безопасности я пытаюсь отключить все файлы PHP, кроме /public/index.php.
У меня есть эта конфигурация nginx, которая, к сожалению, не работает:
корень /var/www/html/public;
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-защита "1; режим = блок";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy «того же происхождения»;
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains";
add_header Cross-Origin-Opener-Policy «того же происхождения»;
кодировка utf-8;
место расположения / {
try_files $uri $uri/ /index.php?$query_string;
}
location = /favicon.ico { access_log off; log_not_found выключен; }
location = /robots.txt { access_log off; log_not_found выключен; }
расположение ~ /\.(?!известно).* {
отрицать все;
}
расположение ~ \.(html|htm|env)$ {
отрицать все;
}
расположение ~ \.(php|phar)$ {
местоположение !~ ^/index\.php$ {
отрицать все;
}
}
Эта часть не работает для меня.
расположение ~ \.(php|phar)$ {
местоположение !~ ^/index\.php$ {
отрицать все;
}
}
Корень документа установлен в /public, и в этой папке у меня также есть этот .htaccess:
<IfModule mod_rewrite.c>
<IfModule mod_negotiation.c>
Options -MultiViews -Indexes
</IfModule>
RewriteEngine On
# Handle Authorization Header
RewriteCond %{HTTP:Authorization} .
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
# Redirect Trailing Slashes If Not A Folder...
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_URI} (.+)/$
RewriteRule ^ %1 [L,R=301]
# Handle Front Controller...
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^ index.php [L]
</IfModule>
Как лучше и безопаснее всего это сделать?
