Webサーバー上にアップロードゾーンをサンドボックス化する

Question

Apache 2.x UbuntuサーバーにPerl CGIスクリプトを介してデータを保存する必要があります。私はそのデータをにしかアクセスしないようにしたいです。 Apache（またはPerlスクリプト）へのRWアクセス、ではなくをURLから利用可能にしてください。

1つの解決策は、データベースをインストールすることです。その依存関係を避け、固有のファイル名でデータを格納したいと考えています（このアプローチはこのアプリケーションで動作します）。

しかし、私はこれを設定する良い方法に慣れていません。

WebサーバーのファイルIOに「サンドボックス」ディレクトリを設定するために必要な構成は、そのディレクトリへのURLを許可しないでください。

Answer 1

ディレクトリをドキュメントルートの外に（ドキュメントルートのエイリアスまたはmod_rewriteでマップされたディレクトリの外側に）配置します。 ApacheとPerlスクリプトは、この場所への読み書きが可能です（ただし、場所へのフルパスと適切なファイルアクセス権が与えられていれば）、URL経由でアクセスすることはできません。

重要な注意点があります。ドキュメントルートの外部にあるファイルは、URL経由で直接アクセスすることはできませんが、Perlスクリプトがファイルのコンテンツを表示している場合は、XSSや情報公開に関する通常のセキュリティ上の懸念があります。また、ファイル名の「一意性」やその欠如がこのデザインにどのように影響するかにも注意してください。ユーザーは意図的にファイルを上書きしようとするか、ファイル名を推測する可能性があります。