隐藏网站后台管理员登录页面

小猫王 发布于 2013/01/04 09:59
阅读 5K+
收藏 5

1.我前台 和 管理员后台写在在一个项目里,怎样隐藏后台管理所有页面,来增强网站安全性;是不是把后台入口地址弄复杂点,还是其他的办法?

禁止 搜索引擎抓取,<head>加入<meta name="robots" content="noarchive">
    <meta name="robots" content="noindex, nofollow">,就可以屏蔽所有浏览器吗?

主要我看了篇文章,说前台 和 后台管理分成两个项目,只通过数据交互,安全性高些;如果在同一个域名下,通过扫描,能得到管理员登录地址

2.我用验证session是否存在来控制某些访问权限,如果我filter中这样

        HttpSession session = request.getSession(false);
        if(session == null || session.getAttribute("user") == null )
        {
            response.sendRedirect(request.getContextPath() + "/login.jsp");
            return;
        }

 session中设置 user或者admin, session.getAttribute("admin")这样的普通字符引用,有没有安全隐患?

我不太懂,望帮助,谢谢

加载中
0
eechen
eechen
@万里码
建议你还是给访问目录设置一个密码吧,这样远程访问比较方便.
1.先用apache的htpasswd生成一个用户名为tux,密码为123456的认证文件passwd:
htpasswd -cmb passwd tux 123456
2.然后在server块下加入以下内容,用来给网站根目录下的admin目录设置访问认证:
location /admin/ {
root   path/to/your/serverroot;
index  index.html index.php;
auth_basic  "Authorization Required";
auth_basic_user_file  path/to/your/passwd;
}
其中auth_basic_user_file path指向htpasswd生成的passwd文件
小猫王
小猫王
nginx 和 tomcat,这两天都在弄,我看看
0
Sumail
Sumail
遇到这样,我们都是分2个部署,其实也不一定很安全,一样可以想办法弄到后台地址,不过要比直接放在前台给的链接来的安全点,或者采用key登录,这样会花点小代价
小猫王
小猫王
谢谢,我已经写在一个项目里了,现在分离还要费不少时间,我自己写的网站,安全要求不高,问题不大。 我用的ssh2框架,如果以后有必要,开个项目,重写个后台,把以前的后台删了也行。
0
用户已屏蔽
用户已屏蔽
这么麻烦干嘛,直接把后台放内网,哈哈
小猫王
小猫王
我就一个项目部署到服务器后,怎么分内外网访问,麻烦提示下,谢谢
零点钟
零点钟
好办法~~~~~
麦麸子lee
麦麸子lee
对头,我们好多项目现在都这样做
小猫王
小猫王
呵呵
0
qycms_cn
qycms_cn

方法:

1、通常都是为后台起来奇怪的文件夹名字,让人猜不到,如ccav007这样,

2、用二级域名访问后台,这个二级域名也起奇怪的名字。

3、指定IP访问后台。

4、密码+验证码登录。

5、内网也可以,只是链接实时数据有点卡。

小猫王
小猫王
网上没找到内网相关的,麻烦提示下,就是我把项目部署到服务器,怎么弄个内网访问后台
小猫王
小猫王
明白了,谢谢
0
小猫王
小猫王

原来这样屏蔽搜索引擎

### BEGIN FILE ###
#
# allow-all
#
#

Sitemap: http://www.oschina.net/sitemap.xml
Sitemap: http://www.oschina.net/projects.xml
Sitemap: http://www.oschina.net/news.xml
Sitemap: http://www.oschina.net/articles.xml
Sitemap: http://www.oschina.net/threads.xml
Sitemap: http://www.oschina.net/blogs.xml

User-agent: *

Disallow: /action/
Disallow: /admin/
Disallow: /my/
Disallow: /code/download_src

### END FILE ###
0
铂金胖子
铂金胖子
后台登录的时候,第一次输入正确的密码就报错,第二次再正确的时候才能登录。
小猫王
小猫王
可以
0
钛元素
钛元素

robots.txt


User-agent: *
Disallow: /admin


小猫王
小猫王
回复 @钛元素 : 一个人能把一个拿得出手的网站做出来,要做的还真多
钛元素
钛元素
@万里码 遇到360搜索这个流氓也会完蛋的。不过只要搜索引擎遵循协议,就没事,你都禁止了
小猫王
小猫王
要是管理员登录页面被搜索引擎抓取了就麻烦了
0
eechen
eechen
如果你用的是Apache,你可以通过.htaccess配置apache只能通过本地访问后台目录,然后通过OpenSSH转发本地80端口到远程SSH客户端来进后台维护.

或者通过htpasswd设置某目录的访问密码.

如果你用的是Nginx,同样可以配置Nginx只能通过本地访问后台目录,同样通过SSH转发本地80端口到远程进行后台维护.

小猫王
小猫王
我刚用nginx,这是后台目录,怎么设成本地访问,网上没找到 location ^~ /backmanger/ { }
小猫王
小猫王
谢谢,明了
返回顶部
顶部