.config配置包含敏感信息，为防止远程访问和下载，您必须在站点配置文件中设置禁止非本地访问.config。

NGINX示例：

location ~* \.(log|config|cms)$ {
deny all;
}

APACHE示例：

<Files ~ "\.config$">
Order allow,deny
Deny from all
</Files>

IIS示例：

IIS已默认阻挡.config配置文件，大多无需额外设置，若无阻挡请参考以下方法：
在IIS中，打开请求筛选，在文件拓展名中，添加.config，禁止访问此类文件。