好奇，市面上有网站防篡改的应用嘛？

你可以写一个简单的，网站上线前备份然后记录一下哈希，然后实时、每分钟监控文件哈希变动。
文件修改和写入可以白名单后缀或者目录，其余的发现文件有改动直接备份文件覆盖就行了。
网站进程低权限跑，防篡改进程高权限跑。

静态文件直接 644 啊，web 进程单独跑 user_www

同求

搜索关键字：CSP 、SRI ，看看是不是你需要的。这两个技术目前在有些信息安全相关认证方面是强制要求的。

都是 tob 的 安恒 奇安信 长亭 主流的安全厂家都有产品 价格嘛起码是几个 w 的

我读书的时候做的是从日志里面学习出一个网站的 api ，
比方说 t/1116490 这样的网址学完了就是 t/*
也支持 queryString ，比方说 ?opt=find&id=123 学完了是 ?opt=find&id=*

相较其他 URL 分类的技术，可以定义一个偏序关系，让多个长的类似的匹配模式同时和谐存在，比如 r1=t/*，r2=t/new, r3=https://t/list ，存在 r2<r1 ，r3<r1 即 r2 比 r1 更具体 ，r2 和 r3 之间则不存在这样的关系；更贴近现实，当时的相关研究都是没有这个概念的

导师说没用，说标准的防挂马就是设置权限和监测目录变化，最后应用场景套的就不是太好，现在工作当中接触到的 api 检测和 URL 防火墙系统里面的这一块都还没我当时的好

目前项目就在用，每次部署完备份起来慢的要死... 大致就是会在你备份好文件后，检测到监听的目录文件发生变化，会主动把之前的备份覆盖掉变化的文件，不过貌似不是实时的。

SRI 子资源完整性验证 ？