为什么现在补这个页面?
USDT checkout 后端和 ClawSkills 访问日志里出现了 .env、.git/config、旧框架探测、/api/auth/session 等路径。与其忽略这些噪音,本页把真实日志信号转成可索引的安全教程和付费模板入口。
阻断 .env 与 .git/config 扫描:AI API 网关的第一层防线
针对 AI API 网关、静态站和 OpenResty/Nginx 源站常见的 .env、.git/config、/api/.env 扫描,提供阻断规则、验证命令、日志脱敏和自动交付安全模板入口。
.env 扫描阻断.git/config 防护OpenResty dotfile denyNginx API 安全AI API 网关加固
合法边界:只做自有站点防护、日志脱敏、密钥保护与公开验证;不做入侵、盗号、扫描他人系统或绕过访问控制。
最小检查清单
- 默认拒绝所有 dotfile:.env、.git、.svn、.hg、*.bak、*.sql。
- 确认 API 主机和营销站不共用可公开列目录的根路径。
- 用 curl -I 测试 /.env、/.git/config、/api/.env 是否 403/404,且响应不暴露框架版本。
- 日志只保留路径、状态码和耗时,避免记录 Authorization、API key、token 或完整请求体。
示例片段
location ~ /\.(?!well-known) { return 404; }
location ~* (\.env|\.git|config\.php|backup|dump\.sql) { return 404; }
add_header X-Content-Type-Options nosniff always;
add_header X-Frame-Options SAMEORIGIN always;推荐下一步
如果你运营 OpenAI-compatible API、New API、Dify/FastGPT/Open WebUI 或 Cloudflare Pages + Worker 店铺,先完成公开路径验证,再下载模板包,把 Nginx/OpenResty、Worker headers、日志字段、限流和密钥轮换流程固化。