>[info]敏感文件泄露 敏感文件泄露是指可以直接輸入地址來訪問某些特定擴展名的文件，例如json配置文件,inc配置文件，XML配置文件，升值包含github的忽略配置文件.gitignore(很多JS擴或者PHP擴展庫中下載下來是包含這類文件的)。 例如XML文件，很可能是需要在程序中訪問使用的，如果直接刪除不僅不一定能夠刪除干凈，而且可能影響程序的運行，所以比較好的解決方法是在apache中配置禁止直接訪問這些擴展名的文件，好處是直接訪問會返回404狀態碼，而在程序中又能正常訪問。 修改apache配置文件/use/local/apache/conf/extra/httpd-vhosts.conf  如上圖，除開指定的內網、外網兩個IP能夠正常訪問配置的這些擴展名文件外，其他IP地址無論使用何種方式訪問都會返回404狀態碼(原理起始就是防盜鏈)。 而在第二個紅色框區域配置了當前站點禁止任何形式訪問的擴展名。