Nginx安全 泄露隐藏目录 资源不存在显示403 改为404

问题

检测到隐藏目录
Web 服务器或应用程序服务器是以不安全的方式配置的
可能会检索有关站点文件系统结构的信息，这可能会帮助攻击者映射此 Web 站点
Web 应用程序显现了站点中的目录。虽然目录并没有列出其内容，但此信息可以帮助攻击者发展对站点进一步的攻击。例如，知道目录名称之后，攻击者便可以猜测它的内容类型，也许还能猜出其中的文件名或子目录，并尝试访问它们。
内容的敏感度越高，此问题也可能越严重。

该问题可能会影响各种类型的产品。


如果不需要禁止的资源，请将其从站点中除去。
可能的话，请发出改用“404 － 找不到”响应状态代码，而不是“403 － 禁止”。这项更改会将站点的目录模糊化，可以防止泄漏站点结构。

白话就是：盲目扫描 我猜前端资源同级下面有 img或者images或者css，接下来我就可以猜测logo.jpg等等。容易存在泄露资源结构的问题。

正文

在 NGINX 中，如果你希望在请求一个不存在的目录时返回 404 而不是 403，你可以通过调整 NGINX 的配置来实现。通常，403 错误表示禁止访问，而 404 错误则表示未找到。

server {
    listen 80;
    server_name your_domain.com;

    location / {
        root /path/to/your/root;
        try_files $uri $uri/ =404;  # 如果找不到文件或目录，则返回404
    }

    # 其他配置...
}

通过以上步骤，你应该能够使 NGINX 在请求不存在的目录时返回 404。

你修改最后 =502 就当找不到资源的时候，就抛出502异常。