静态动态文件
一、基础定义
1. 静态文件
后缀:html、css、js、图片、压缩包等
特点:内容固定不变,无需服务器运行解析
使用:仅搭建页面样式、实现简单前端效果,无法连接操作数据库
访问:公网请求直接返回完整源码,所有人均可查看
2. 动态文件
后缀:php、jsp、asp等后端脚本
特点:必须依托服务器环境执行代码,内容可随数据实时变动
使用:唯一能对接数据库,完成登录、数据查询、信息存取等核心交互
访问:公网访问仅返回渲染好的页面,原生后端源码严格隐藏
二、本地与线上打开区别
- 本地电脑:两类文件都能用记事本打开,直接查看全部源码
- 公网网站:仅暴露静态文件源码,动态后端源码默认禁止查看
三、存放规范
- 静态文件:存放网站静态目录、阿里云OSS/腾讯云COS存储桶
- 动态脚本、数据库密码、云服务AK密钥:仅存放服务器内部,严禁对外泄露
四、核心重要性
是Web安全学习根基,SQL注入、源码泄露、文件包含、存储桶漏洞都基于此区分
1. 区分文件权限,明确只有后端动态文件能操控数据库
2. 判定漏洞危害:泄露静态文件影响极小,泄露动态源码属于高危漏洞,极易窃取数据库信息、云服务密钥
3. 理清网站运行流程:用户操作→前端静态传数据→后端动态处理→读写数据库
4. 精准挖洞:优先探测php脚本、配置文件、数据库备份等敏感动态相关文件