autoindex
Директива 'autoindex' включает или отключает индексирование каталогов в NGINX. — NGINX HTTP Core
Описание
Директива 'autoindex' позволяет NGINX генерировать и отображать список файлов в каталоге, когда индексный файл отсутствует. При включении, если пользователь запрашивает каталог без индексного файла (например, index.html или index.htm), NGINX вернёт сортируемый список файлов, содержащихся в этом каталоге. Эта директива может быть задана в различных контекстах: http, server, and location. Установив 'autoindex on', можно сделать содержимое каталогов доступным, что может быть полезно при отладке, но представляет риск безопасности, если конфиденциальные файлы будут случайно открыты. Вывод можно настроить с помощью связанных директив, таких как 'autoindex_format', для разных форматов отображения (например, компактного или полного списка). Важно правильно настроить права доступа к каталогам, чтобы избежать несанкционированного доступа. Когда 'autoindex' используется вместе с директивами управления доступом, такими как 'allow' и 'deny', сначала применяются правила доступа, чтобы определить, следует ли отказать или разрешить запрос, прежде чем обрабатывать индекс.
Пример конфига
location /files {
autoindex on;
}Включение 'autoindex' может сделать чувствительные файлы доступными пользователям, если права доступа к каталогам установлены неправильно.
Отображение содержимого каталогов может раскрыть структуру вашего приложения, что представляет собой проблему безопасности в производственной среде.