不要将你的 .git 文件夹公开，黑客可以窃取你的源代码。

以下是缓解方法：

你是否意识到公开访问的 .git 文件夹的危险性？

有些开发者使用纯粹的Git 克隆方法将应用部署到生产环境。他们直接将应用仓库从 GitLab/GitHub/Bitbucket 克隆到服务器上的 Web 根目录，例如 /var/www/app/。这样，/var/www/app/ 目录下就会存在 .git 文件夹。

如果您没有访问该 .git 文件夹的适当权限，则公众可以访问该文件夹。例如：

然后黑客可以使用以下命令下载你的 .git 文件夹：

$ wget -c -r -np -R "index.html*" http://example.com/.git

下载后，它只是一个空文件夹，里面只有一个名为 .git 的文件夹。它还包含了所有的提交历史记录。

黑客可以将代码重置到最新提交版本以恢复源代码文件。

$ git reset --hard HEAD

砰！你的源代码泄露了！

以下是缓解方法：

添加/编辑 .htaccess 文件，使 .git 文件夹隐藏

RewriteEngine on  
RewriteRule .*\.git/.* - [404]

为什么使用 404 未找到而不是 403 禁止访问？

黑客甚至不知道 .git 文件夹是否存在，返回的是 404 错误。但如果是 403 禁止访问，黑客就知道 .git 文件夹存在，只是无法访问。

希望对您有所帮助。
祝您平安。