在开发drupal项目时,如果将vendor目录放在http服务器的docroot中,可能会面临安全风险。这是因为vendor目录中可能包含一些可执行文件和测试目录,如果不加以处理,可能会被恶意利用。最近,我在处理一个drupal项目时遇到了这个问题,尝试了多种方法来增强安全性,但效果不佳。
最后,我发现了drupal/core-vendor-hardening这个Composer插件,它专门用于解决这个问题。这个插件可以自动清理vendor目录中的多余目录,特别是那些可能包含可执行文件的测试目录。它还会在vendor目录的根目录添加一个.htaccess文件,以防止web服务器直接访问vendor目录中的文件。
使用drupal/core-vendor-hardening非常简单,只需在你的项目中通过Composer安装它:
composer require drupal/core-vendor-hardening
安装或更新时,这个插件会自动检查每个包,并移除它所知道的多余目录。对于Drupal核心包,这个插件已经预设了清理规则。如果你需要清理其他包,可以在composer.json的extra字段中进行配置。例如:
"extra": {
"drupal-core-vendor-hardening": {
"vendor/package": ["test", "documentation"]
}
}上述配置会告诉插件在安装或更新vendor/package包时,移除其test/和documentation/目录。
对于通过composer/installers安装在vendor目录之外的包,你也可以配置插件进行清理。例如,对于一个名为drupal/module_name的Drupal模块包,可以这样配置:
"extra": {
"drupal-core-vendor-hardening": {
"drupal/module_name": ["tests", "src/Tests"]
}
}这会让插件尝试移除web/modules/contrib/module_name/tests和web/modules/contrib/module_name/src/Tests目录。
使用drupal/core-vendor-hardening插件,不仅大大增强了我的Drupal项目的安全性,还简化了配置过程。这个插件的优势在于它自动化了清理过程,并且可以通过简单配置扩展到其他包。实际应用中,它显著提高了项目的安全性,使我能够更放心地将vendor目录放在docroot中。
