久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區

標題: 火急求助,關于formhash校驗 [打印本頁]
作者: ysx24    時間: 2023-1-27 08:12
標題: 火急求助,關于formhash校驗
增加的formhash校驗提升安全的同時也帶來不小的麻煩
比如一些插件直接失效,特別是一些上傳類、網盤類插件、手機端能使用但無法刪除圖片和附件
特別一些19年斷更的經典插件更是直接下崗、
作者不是聯系不上就是說了問題但沒了下文

現在formhash校驗給我的作用弊遠遠遠遠大于利
從哪里去掉formhash校驗,十分懇請幫助
還有就是不明白為什么formhash校驗限制手機版刪附件,而古董級的pc模板絲毫不受影響,只限制手機端的作用是什么
作者: ysx24    時間: 2023-1-27 08:36
除了手機模板添加formhash 參數外,如果一些啟用插件沒有formhash參數,就會導致所有版塊在手機端無法刪除,就比如xx網盤,要想手機刪圖必須要關閉它,回到11月20號之前的版本測試無此問題
作者: 湖中沉    時間: 2023-1-27 09:50
PC端向來都是有formhash的,完善的是手機端的安全性,PC端本來就是那樣做的,是安全了的(因為以前手機端很簡陋)
作者: 幸福    時間: 2023-1-27 09:57
為了安全,沒必要,制作好手機端安全就好!
作者: ysx24    時間: 2023-1-27 10:11
湖中沉 發表于 2023-1-27 09:50
PC端向來都是有formhash的,完善的是手機端的安全性,PC端本來就是那樣做的,是安全了的(因為以前手機端很 ...

能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash問題在手機版集體趴窩
已知集中在上傳類、網盤類插件,問題就是能上傳附件不能刪除附件和圖片,因技術有限改出了很多問題
作者: 湖中沉    時間: 2023-1-27 10:16
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

插件適配程序才對,難道程序反向適配不安全的行為?這邏輯上就錯了啊。

自己不會改,找開發者或其他技術人員處理啊。
作者: ysx24    時間: 2023-1-27 10:33
湖中沉 發表于 2023-1-27 10:16
插件適配程序才對,難道程序反向適配不安全的行為?這邏輯上就錯了啊。

自己不會改,找開發者或其他技術 ...

如果找技術人員就不會來這里發帖了
只一款插件還可以,如果把有問題的羅列出來找人修改成本會很高
如一個網盤插件,全部用的系統函數,壓根就沒有formhash參數,加了也識別不出來
要全部重寫代碼架構
作者: 湖中沉    時間: 2023-1-27 10:45
ysx24 發表于 2023-1-27 10:33
如果找技術人員就不會來這里發帖了
只一款插件還可以,如果把有問題的羅列出來找人修改成本會很高
如一個 ...

你自己的猜測我不評論……安全問題是第一位的,其他都得靠后
作者: ysx24    時間: 2023-1-27 11:21
湖中沉 發表于 2023-1-27 10:45
你自己的猜測我不評論……安全問題是第一位的,其他都得靠后

可以負責任的說,這不是猜測,如假包換

哎…算了,不行回滾11月20號之前的版本鏡像止步,不過要丟失大量數據,但起碼能用
測試升級3.5后發現此類問題更嚴重,暴擊加倍那種
一度懷疑加的這個手機formhash 是為了安全還是為了創收,小白的驚喜
作者: 老周部落    時間: 2023-1-27 12:27
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

沒辦法,要能這么處理肯定就這么處理了。
主要是處理不了,又是必須修復的安全問題,那就沒辦法了。
作者: 老周部落    時間: 2023-1-27 12:28
ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可,不至于插件因為formhash ...

您可以在插件里面搜索 forum.php?mod=ajax&action=deleteattach ,看看能不能找到對應節點。
修改方法請參照 https://gitee.com/Discuz/DiscuzX/pulls/1834/files
作者: 老周部落    時間: 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件?我看了一下應該主要就是附件刪除這一個節點
作者: ysx24    時間: 2023-1-27 13:10
老周部落 發表于 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件?我看了一下應該主要就是附件刪除這一個節點 ...

已知四個,網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了需要關閉這些插件,不然默認模板默認刪除都失效,癥狀就是刪除但發帖后復現
還不包括已經關閉未測試的
其中有些是19年古董但及其經典插件
猜測所有上傳類、自帶刪除類插件都受影響
作者: 專家    時間: 2023-1-27 13:28
ysx24 發表于 2023-1-27 11:21
可以負責任的說,這不是猜測,如假包換

哎…算了,不行回滾11月20號之前的版本鏡像止步,不過要丟失大量 ...

你這個懷疑就沒有必要了
到目前為止主要的安全更新,都不是由應用中心,以及存在任何利益相關的開發者完成的。

不過話說我很好奇,像上傳網盤oss之類的需要掛鉤第三方的插件會斷更那么久么?你該不會是全挑的冷門的開發者買的吧?
正常來說需要對接第三方的可是要一直跟進第三方的API變更的,如果長時間不更新基本上很容易就壞掉再也不能用了。
作者: 老周部落    時間: 2023-1-27 13:44
ysx24 發表于 2023-1-27 13:10
已知四個,網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了 ...

X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件,網盤和 OSS 確實。
您可以先看下 deleteattach 在您插件里面能否搜索到,不行的話我發一個關閉刪除附件節點校驗的方法。
作者: ysx24    時間: 2023-1-27 14:11
老周部落 發表于 2023-1-27 13:44
X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件,網盤和 OSS 確實。
您可以先看下 deleteatta ...

這個剛剛試了搜不到,老周大大快說說方法
作者: 老周部落    時間: 2023-1-27 14:20
ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到,老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到:
  1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {
復制代碼

改成:
  1. if(isset($_GET['aids'])) {
復制代碼


此修改會關閉刪除附件功能的 CSRF 校驗,由此導致的安全風險自擔
作者: 老周部落    時間: 2023-1-27 14:41
ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到,老周大大快說說方法

改成了以教程貼形式呈現,具體可以看 http://www.9999xn.com/thread-15602-1-1.html
作者: ysx24    時間: 2023-1-27 14:49
老周部落 發表于 2023-1-27 14:20
upload/source/module/forum/forum_ajax.php
找到:


非常感謝,問題解決
至于CSRF 校驗需要時間對老插件逐步修復,沒辦法一些老插件非常經典現在同類插件根本無法比肩
如 ck8_video
以后慢慢開啟formhash   暫時不行
再次感謝



歡迎光臨 Discuz! 官方交流社區 (http://www.9999xn.com/) Powered by Discuz! X5.0
久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线
亚洲欧美另类综合偷拍| www亚洲一区| 欧美日韩免费一区二区三区 | 亚洲一区二区三区免费视频| 国产综合18久久久久久| 久久亚洲一区二区三区明星换脸 | 尤物视频一区二区| 99久久婷婷国产综合精品| 欧美人妇做爰xxxⅹ性高电影| 日韩精品一二三区| 在线视频精品一区| **性色生活片久久毛片| 欧美国产先锋| 久久久综合精品| 成人99免费视频| 欧美tickle裸体挠脚心vk| 国产一区二三区| 欧美狂野另类xxxxoooo| 久久精品99国产精品日本| 日本精品视频一区二区三区| 视频一区视频二区在线观看| 先锋亚洲精品| 午夜精品久久久| 亚洲欧美日韩国产一区二区| 亚洲最大成人综合| 亚洲在线播放| 日韩精品一区第一页| 色老汉一区二区三区| 男男成人高潮片免费网站| 色成年激情久久综合| 日本成人在线不卡视频| 在线观看日韩电影| 蜜桃视频在线观看一区| 欧美日韩免费观看一区三区| 韩国av一区二区三区| 欧美一区二区女人| 成人aa视频在线观看| 国产欧美日韩精品在线| 99国产精品久久久久久久久久 | 亚洲精品在线免费| 亚洲精品视频一区| 亚洲一卡久久| 美女网站一区二区| 5月丁香婷婷综合| av影院午夜一区| 国产精品免费av| 亚洲三级视频| 亚洲一区二区三区四区在线观看 | 国产一级精品aaaaa看| 图片区小说区区亚洲影院| 欧美日韩中文另类| 国产成都精品91一区二区三| 欧美videos大乳护士334| 欧美jizzhd精品欧美巨大免费| 欧美国产一区二区在线观看| 亚洲国产精品123| 日日摸夜夜添夜夜添国产精品| 日本精品裸体写真集在线观看| 国产一区二区三区高清播放| wwwwxxxxx欧美| 亚洲小说欧美另类婷婷| 亚洲激情图片qvod| 在线看日本不卡| 成人性视频网站| 欧美国产日韩在线观看| 一区二区欧美日韩| 青青草精品视频| 精品日韩欧美在线| 最新国产乱人伦偷精品免费网站| 亚洲午夜一二三区视频| 欧美三区在线观看| 91在线观看下载| 国产精品电影院| 老司机精品视频网站| 国产99精品视频| 国产精品电影院| 欧洲国内综合视频| 99re热视频这里只精品| 亚洲综合色噜噜狠狠| 欧美日韩午夜在线| 欧美精品一线| 视频一区在线播放| 精品久久人人做人人爽| 在线看无码的免费网站| 日本在线不卡一区| 精品国产乱码久久久久久免费| 亚洲人人精品| 国产一区二区主播在线| 中文字幕一区二区三区av| 欧美亚洲国产bt| 欧美日韩在线精品一区二区三区| 午夜国产精品一区| 欧美成人艳星乳罩| 国产精品久久久一区二区| 国产剧情一区二区三区| 亚洲欧美怡红院| 欧美人与z0zoxxxx视频| 亚洲午夜精品久久久久久浪潮| 久久99这里只有精品| 国产精品私人自拍| 欧美写真视频网站| 欧美另类视频| 美女网站色91| 亚洲男人的天堂在线aⅴ视频| 欧美三级在线视频| 亚洲高清激情| 国产精品99久| 亚洲一区二区四区蜜桃| 欧美岛国在线观看| 鲁鲁狠狠狠7777一区二区| 99久久久久久| 久久精品国产一区二区| 国产精品国产三级国产aⅴ无密码 国产精品国产三级国产aⅴ原创 | 中文字幕中文字幕中文字幕亚洲无线| 色婷婷亚洲婷婷| 黄色亚洲大片免费在线观看| 国模娜娜一区二区三区| 亚洲乱码国产乱码精品精可以看| 日韩一二三四区| 91国产丝袜在线播放| 激情文学一区| 国产精品18久久久久久久久| 亚洲国产精品精华液网站| 久久久精品tv| 欧美日韩和欧美的一区二区| 国产日韩欧美一区二区三区在线观看| 成人激情小说乱人伦| 奇米色777欧美一区二区| 日韩毛片视频在线看| 日韩精品一区二区三区中文不卡| 久久午夜精品| 黄色精品一区| 99riav久久精品riav| 精品影院一区二区久久久| 亚洲成av人片在www色猫咪| 国产精品嫩草影院com| 91精品婷婷国产综合久久竹菊| 性高湖久久久久久久久| 欧美色123| 成人一级黄色片| 激情欧美日韩一区二区| 天天综合网天天综合色| 一区二区三区四区在线| 国产精品久久久久婷婷| 欧美精品一区二区三区一线天视频 | 国产亚洲综合色| 日韩午夜激情电影| 欧美三级视频在线播放| 久久综合五月| 久久riav二区三区| 亚洲精品社区| 国产自产在线视频一区| 99r精品视频| 9人人澡人人爽人人精品| 国产精品一区二区三区乱码 | 亚洲图片欧洲图片日韩av| 色综合色狠狠天天综合色| 成人激情午夜影院| 国产风韵犹存在线视精品| 久久精品国产精品亚洲红杏| 日本91福利区| 首页欧美精品中文字幕| 亚洲香蕉伊在人在线观| 亚洲精品福利视频网站| 亚洲欧洲成人自拍| 国产精品久久久久久久久快鸭| 国产日韩av一区二区| 久久久久久麻豆| 欧美精品一区二区蜜臀亚洲| 日韩精品资源二区在线| 欧美一级电影网站| 91麻豆精品国产91久久久使用方法| 欧美在线观看一区| 91搞黄在线观看| 91久久人澡人人添人人爽欧美 | 精品999网站| 亚洲午夜激情| 欧美三级视频| 亚洲大片在线| 亚洲精品黄色| 国产精品久久久久9999高清| 99精品国产福利在线观看免费| 黄色精品一区| 亚洲日产国产精品| 亚洲综合好骚| 久久欧美肥婆一二区| 久久久精品性| 91久久一区二区| 欧美日韩高清在线播放| 欧美久久高跟鞋激| 日韩一区二区三区电影在线观看 | 精品国产不卡一区二区三区| 久久夜色精品国产噜噜av| 久久久欧美精品sm网站| 亚洲国产精品高清| 中文字幕中文字幕一区二区| 有坂深雪av一区二区精品| 天天免费综合色| 美女www一区二区| 免费成人美女在线观看|