还是更新自述文件
This commit is contained in:
@@ -43,10 +43,11 @@ AFI 是 Go 编写的轻量级文件服务器, 是基于 Gossa 的现代化增强
|
||||
- 使用普通用户, chroot 或容器运行
|
||||
|
||||
|
||||
- 安全设计:
|
||||
安全设计:
|
||||
- 可防止路径穿越攻击
|
||||
- 有基本的权限管理系统 (基于 HTTP Basic Authentication)
|
||||
- 不安全设计:
|
||||
|
||||
不安全设计:
|
||||
- 不能防范且无法容忍的攻击
|
||||
- 如上文所述, 这里没写不等于没有, 欢迎通过 issues 提出
|
||||
- 未防范但几乎不可能成功的攻击
|
||||
@@ -72,7 +73,7 @@ AFI 是 Go 编写的轻量级文件服务器, 是基于 Gossa 的现代化增强
|
||||
- 没有自带的防暴力破解机制
|
||||
- 没有操作审计日志
|
||||
- 没有密码哈希存储 (后端明文比较)
|
||||
- 可能被误解为是不恰当的设计
|
||||
可能被误解为是不恰当的设计:
|
||||
- 代码中不恰当的注释, 但这些注释(html, js 和 css 中的)事实上会被 go 的 embed 清除(即使有 "dev" tag), 因此您不必担心这些注释会随页面传递给浏览器, 在"查看源代码页"呈现给用户
|
||||
|
||||
> 注意: 这些不安全设计并非都是运维或服务器管理员能解决的, 因此请量需求而行
|
||||
|
||||
Reference in New Issue
Block a user