如何关闭Web服务器目录遍历任意文件访问（含Tomcat\Apache\IIS\Nginx解决方案）

服务器目录遍历是常见的Web服务器漏洞之一，本文给出各种Web服务器如何修改web服务器配置，以达到浏览器不能访问目录的目的；包含Tomcat\Apache\IIS\Nginx四种服务器解决方案。

各种服务器修复流程都是一致的，可分为三个步骤：修改Web服务器主配置> 重启服务器> 检验/完成

具体操作步骤如下：

一、Tomcat

步骤1进入tomcat下的web.xml配置

vi /usr/local/apache-tomcat-9.0.44/conf/web.xml

步骤2将servlet下的true改为false

步骤3检验，在浏览器中访问tomcat下的目录，显示为404则修改成功

二、Apache

步骤1进入httpd.conf配置文件

vi /etc/httpd/conf/httpd.conf

步骤2将Indexes删除 （Indexes表示若当前目录没有index.html就会显示目录结构）

步骤3重启Apache

systemctl restart httpd

三、IIS

步骤1 进入IIS管理器

步骤2禁用目录浏览功能

1)双击进入目录浏览

2)禁用目录浏览

步骤3重启网站

四、Nginx

步骤1进入nginx.conf配置文件

在nginx安装目录下的conf目录下含有nginx.conf文件

步骤2修改 autoindex on 将on改为 off

步骤3重启nginx服务.

Windows中重启nginx服务：在nginx安装目录中执行以下命令

注：若配置未生效可能是重启失败，这时 使用如下命令关闭进程，重新启动nginx

taskkill /f /t /im nginx.exe