97久久国产亚洲精品超碰热,成人又色又爽的免费网站,色偷偷女人的天堂a,男女高潮喷水在线观看,国内精品一线二线三线区别在哪里

Discuz! 官方交流社區(qū)

標(biāo)題: 火急求助，關(guān)于formhash校驗(yàn) [打印本頁]

作者: ysx24 時間: 2023-1-27 08:12
標(biāo)題: 火急求助，關(guān)于formhash校驗(yàn)
增加的formhash校驗(yàn)提升安全的同時也帶來不小的麻煩
比如一些插件直接失效，特別是一些上傳類、網(wǎng)盤類插件、手機(jī)端能使用但無法刪除圖片和附件
特別一些19年斷更的經(jīng)典插件更是直接下崗、
作者不是聯(lián)系不上就是說了問題但沒了下文

現(xiàn)在formhash校驗(yàn)給我的作用弊遠(yuǎn)遠(yuǎn)遠(yuǎn)遠(yuǎn)大于利
從哪里去掉formhash校驗(yàn)，十分懇請幫助
還有就是不明白為什么formhash校驗(yàn)限制手機(jī)版刪附件，而古董級的pc模板絲毫不受影響，只限制手機(jī)端的作用是什么

作者: ysx24 時間: 2023-1-27 08:36
除了手機(jī)模板添加formhash 參數(shù)外，如果一些啟用插件沒有formhash參數(shù)，就會導(dǎo)致所有版塊在手機(jī)端無法刪除，就比如xx網(wǎng)盤，要想手機(jī)刪圖必須要關(guān)閉它，回到11月20號之前的版本測試無此問題

作者: 湖中沉 時間: 2023-1-27 09:50
PC端向來都是有formhash的，完善的是手機(jī)端的安全性，PC端本來就是那樣做的，是安全了的（因?yàn)橐郧笆謾C(jī)端很簡陋）

作者: 幸福 時間: 2023-1-27 09:57
為了安全，沒必要，制作好手機(jī)端安全就好！

作者: ysx24 時間: 2023-1-27 10:11

湖中沉發(fā)表于 2023-1-27 09:50
PC端向來都是有formhash的，完善的是手機(jī)端的安全性，PC端本來就是那樣做的，是安全了的（因?yàn)橐郧笆謾C(jī)端很 ...

能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個參數(shù)即可，不至于插件因?yàn)閒ormhash問題在手機(jī)版集體趴窩
已知集中在上傳類、網(wǎng)盤類插件，問題就是能上傳附件不能刪除附件和圖片，因技術(shù)有限改出了很多問題

作者: 湖中沉 時間: 2023-1-27 10:16

ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個參數(shù)即可，不至于插件因?yàn)閒ormhash ...

插件適配程序才對，難道程序反向適配不安全的行為？這邏輯上就錯了啊。

自己不會改，找開發(fā)者或其他技術(shù)人員處理啊。

作者: ysx24 時間: 2023-1-27 10:33

湖中沉發(fā)表于 2023-1-27 10:16
插件適配程序才對，難道程序反向適配不安全的行為？這邏輯上就錯了啊。

自己不會改，找開發(fā)者或其他技術(shù) ...

如果找技術(shù)人員就不會來這里發(fā)帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會很高
如一個網(wǎng)盤插件，全部用的系統(tǒng)函數(shù)，壓根就沒有formhash參數(shù)，加了也識別不出來
要全部重寫代碼架構(gòu)

作者: 湖中沉 時間: 2023-1-27 10:45

ysx24 發(fā)表于 2023-1-27 10:33
如果找技術(shù)人員就不會來這里發(fā)帖了
只一款插件還可以，如果把有問題的羅列出來找人修改成本會很高
如一個 ...

你自己的猜測我不評論……安全問題是第一位的，其他都得靠后

作者: ysx24 時間: 2023-1-27 11:21

湖中沉發(fā)表于 2023-1-27 10:45
你自己的猜測我不評論……安全問題是第一位的，其他都得靠后

可以負(fù)責(zé)任的說，這不是猜測，如假包換

哎…算了，不行回滾11月20號之前的版本鏡像止步，不過要丟失大量數(shù)據(jù)，但起碼能用
測試升級3.5后發(fā)現(xiàn)此類問題更嚴(yán)重，暴擊加倍那種
一度懷疑加的這個手機(jī)formhash 是為了安全還是為了創(chuàng)收，小白的驚喜

作者: 老周部落 時間: 2023-1-27 12:27

ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個參數(shù)即可，不至于插件因?yàn)閒ormhash ...

沒辦法，要能這么處理肯定就這么處理了。
主要是處理不了，又是必須修復(fù)的安全問題，那就沒辦法了。

作者: 老周部落 時間: 2023-1-27 12:28

ysx24 發(fā)表于 2023-1-27 10:11
能不增在系統(tǒng)增加適配所有插件的參數(shù)
然后在支持手機(jī)端的插件加入這個參數(shù)即可，不至于插件因?yàn)閒ormhash ...

您可以在插件里面搜索 forum.php?mod=ajax&action=deleteattach ，看看能不能找到對應(yīng)節(jié)點(diǎn)。
修改方法請參照 https://gitee.com/Discuz/DiscuzX/pulls/1834/files

作者: 老周部落 時間: 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件？我看了一下應(yīng)該主要就是附件刪除這一個節(jié)點(diǎn)

作者: ysx24 時間: 2023-1-27 13:10

老周部落發(fā)表于 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件？我看了一下應(yīng)該主要就是附件刪除這一個節(jié)點(diǎn) ...

已知四個，網(wǎng)盤插件、手機(jī)上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了需要關(guān)閉這些插件，不然默認(rèn)模板默認(rèn)刪除都失效，癥狀就是刪除但發(fā)帖后復(fù)現(xiàn)
還不包括已經(jīng)關(guān)閉未測試的
其中有些是19年古董但及其經(jīng)典插件
猜測所有上傳類、自帶刪除類插件都受影響

作者: 專家 時間: 2023-1-27 13:28

ysx24 發(fā)表于 2023-1-27 11:21
可以負(fù)責(zé)任的說，這不是猜測，如假包換

哎…算了，不行回滾11月20號之前的版本鏡像止步，不過要丟失大量 ...

你這個懷疑就沒有必要了
到目前為止主要的安全更新，都不是由應(yīng)用中心，以及存在任何利益相關(guān)的開發(fā)者完成的。

不過話說我很好奇，像上傳網(wǎng)盤oss之類的需要掛鉤第三方的插件會斷更那么久么？你該不會是全挑的冷門的開發(fā)者買的吧？
正常來說需要對接第三方的可是要一直跟進(jìn)第三方的API變更的，如果長時間不更新基本上很容易就壞掉再也不能用了。

作者: 老周部落 時間: 2023-1-27 13:44

ysx24 發(fā)表于 2023-1-27 13:10
已知四個，網(wǎng)盤插件、手機(jī)上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了 ...

X3.5 默認(rèn)觸屏版可以替換手機(jī)上傳視頻和大附件上傳視頻插件，網(wǎng)盤和 OSS 確實(shí)。
您可以先看下 deleteattach 在您插件里面能否搜索到，不行的話我發(fā)一個關(guān)閉刪除附件節(jié)點(diǎn)校驗(yàn)的方法。

作者: ysx24 時間: 2023-1-27 14:11

老周部落發(fā)表于 2023-1-27 13:44
X3.5 默認(rèn)觸屏版可以替換手機(jī)上傳視頻和大附件上傳視頻插件，網(wǎng)盤和 OSS 確實(shí)。
您可以先看下 deleteatta ...

這個剛剛試了搜不到，老周大大快說說方法

作者: 老周部落 時間: 2023-1-27 14:20

ysx24 發(fā)表于 2023-1-27 14:11
這個剛剛試了搜不到，老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到：

if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復(fù)制代碼

改成：

if(isset($_GET['aids'])) {

復(fù)制代碼

此修改會關(guān)閉刪除附件功能的 CSRF 校驗(yàn)，由此導(dǎo)致的安全風(fēng)險(xiǎn)自擔(dān)

作者: 老周部落 時間: 2023-1-27 14:41

ysx24 發(fā)表于 2023-1-27 14:11
這個剛剛試了搜不到，老周大大快說說方法

改成了以教程貼形式呈現(xiàn)，具體可以看 http://r615.cn/thread-15602-1-1.html

作者: ysx24 時間: 2023-1-27 14:49

老周部落發(fā)表于 2023-1-27 14:20
upload/source/module/forum/forum_ajax.php
找到：

非常感謝，問題解決
至于CSRF 校驗(yàn)需要時間對老插件逐步修復(fù)，沒辦法一些老插件非常經(jīng)典現(xiàn)在同類插件根本無法比肩
如 ck8_video
以后慢慢開啟formhash 暫時不行
再次感謝

歡迎光臨 Discuz! 官方交流社區(qū) (http://r615.cn/)