mod_wsgi und WSGIScript Richtlinie

Question

Auf meiner virtuellen Server-Konfiguration habe ich dies:

DocumentRoot /var/www/project/app/ 

und ich habe auch diese Anweisung:

WSGIScriptAlias//var/www/project/app/wsgi.py 

von mod_wsgi Dokumentation: "Vermeiden Sie WSGI Skripte unter dem DocumentRoot, um zu vermeiden, dass der Quellcode versehentlich angezeigt wird, wenn die Konfiguration jemals geändert wird "

Es ist mir klar, dass ich die DocumentRoot-Direktive hier löschen muss! Ich möchte nur wissen, wie es möglich ist, den Code meiner wsgi.py-Datei zu enthüllen. Welche Art von Anfrage könnte eine Antwort auf diese Datei haben?

Answer 1

Wechsel:

WSGIScriptAlias//var/www/project/app/wsgi.py 

zu:

WSGIScriptAlias /suburl /var/www/project/app/wsgi.py 

Restart Apache und dann /wsgi.py besuchen. Es wird heruntergeladen und zeigt Ihnen Ihren Quellcode.

Es gibt normalerweise keinen Grund, DocumentRoot als das Verzeichnis festzulegen, in dem sich Ihre WSGI-Skriptdatei befindet, wenn Sie WSGIScriptAlias verwenden. Wenn Sie dies tun, wenn Sie dies nicht benötigen, sind Sie nur einen Schritt davon entfernt, Ihren Code verfügbar zu machen, wenn Sie Ihre Konfiguration ändern, um die Anwendung unter einer Sub-URL zu mounten, und die Auswirkungen nicht verstanden haben.

Da es nicht notwendig ist, setzen Sie sich nicht dem zusätzlichen Risiko aus.