不带参数的URL就列出了DOC文件夹里面所有的文件,这太白了,属于毫无防范了,因此为敏感信息泄露。 敏感信息泄露有时候是在前端页面,比如注释没有消除干净,登陆后的COOKIE里包含有用户密码这样,或者中间件的地址上直接展示所有目录。