今天趁开会的时间，对自己的博客(/，程序用的是emlog5.0.0)进行了一次安全监测，测试结果是程序没有任何漏洞！说明emlog在安全方面做的还是很到位的。不过有了一些经过，查看详细，原来是我租的服务器开启目录访问了！我用的是Linux虚拟主机，无法更改服务器配置，所以就在.htaccess里加了一条代码，就解决了警告问题。

360网站安全中心发过来的检测报告：

博客测试详细（旁注这个是没有办法处理的，谁让我用的是虚拟主机呢？）：

详细警告：

漏洞补后结果：

下面附禁止目录访问的方法：

　　方法一、在每个子目录下面放一张index.html文件，至于文件内容，可以是错误信息，也可以是你自定义的其它内容。这种方法的缺点是在子目录比较多的情况下，就要在很多个目录下放置大量的这个index,html文件，优点是自己定义首页内容，可以避免一些敏感信息的暴露。

　　方法二、也就是.htaccess文件方法：

.htaccess可以做大量的事情，包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表，以及使用其他文件作为index文件。

　　创建.htaccess文件也许会给你带来一些困难。写文件很容易，你只需要在文字编缉器（例如：记事本）里写下适当的代码。真正困难的可能是文件的保存，因为.htaccess是一个古怪的文件名（它事实上没有文件名，只有一个由8个字母组成的扩展名），而在一些系统（如windows）中无法接受这样的文件名。在大多数的操作系统中，你需要做的是将文档保存成名为：

“.htaccess”（包括引号）。如果这也不行，你需要将其先命名为其它名字（例如htaccess.txt），再将其上传到服务器上，之后直接使用FTP软件来重命名。我在Windows Server 2003下面新建一个“文本文档”在另存为的时候保存为".htaccess"(包括引号一起保存)的时候成功。

禁止显示子目录的操作：

　　Options -Indexes 

　　把这句话保存在上面的.htaccess 文件中即可，再把.htaccess文件放在网站根目录下，就看不到子目录了。

　　使用这种方法的优点是只要一个文件就可以保证所有子目录不显示，但是缺点是，这种方法还是会暴露服务器的一些敏感信息，如web服务器的配置情况，版本等。

由于.htaccess文件有强大的功能，这里就不做介绍了，有需要的可以搜索专门的使用方法。

参考.htaccess资料：

https://parandroid.com/htaccess-guide-to-the-use-of-two-documents-httacces-document-configuration/

https://www.thinkjam.org/zoptuno/archives/2006/04/htaccess.html