为什么值得处理
访问日志出现 /.git/config、/.git/HEAD 或类似路径时,通常是自动化扫描器在寻找误发布的仓库元数据。
重点不是反向扫描别人,而是确认自己的 webroot 没有 VCS 目录、Nginx/Cloudflare 会返回安全的 403/404,并且日志不记录密钥。
Git config 暴露加固:把 /.git/config 扫描噪音转成防守检查表
防守型清单:阻断 /.git/config 探测、清理误放 webroot 的 VCS 目录、补 Nginx/OpenResty/Cloudflare 规则、记录自查证据并导向安全加固模板包。
Git config 暴露阻断 .git 扫描OpenResty 安全AI API 网关加固静态店铺安全
获取 Security Hardening Kit查看安全加固包介绍浏览模板商店
边界:本页只用于自有站点防御、配置清理和上线自查;不提供攻击脚本、扫描自动化、凭据获取或绕过步骤。
防守检查清单
- 在部署流水线里排除 .git、.svn、.hg、.env、backup.zip 等非公开文件。
- Nginx/OpenResty 增加 dotfile deny 规则,并单独允许 /.well-known/ 里确实需要公开的文件。
- 如果曾经公开过仓库配置,检查 remote URL、历史提交、CI 配置里是否有 token;必要时轮换密钥。
- 把验证命令写入上线 checklist:HEAD/GET /.git/config 应返回 403 或 404,页面不泄露路径细节。
推荐下载包:AI API Gateway Security Hardening Kit
适合已有 OpenAI-compatible API 网关、USDT 自动交付店、Cloudflare Worker/Pages 路由和 1GB VPS 静态站的防守模板包。下载包不要求托管私钥,不修改收款逻辑,重点是减少密钥泄露和配置暴露风险。
FAQ
是否保证收益? 不保证。SEO 与自动交付只能降低维护成本,是否成交取决于真实流量和需求。
是否涉及攻击? 不涉及,只做防守和自查。