Discuz有償服務(wù) 發(fā)表于 2023-6-14 18:15
你是說后臺(tái)的UC設(shè)置應(yīng)該刪除？網(wǎng)站配置https 的UC地址優(yōu)先通過改文件？

當(dāng)然不是了。
修改config文件可以，后臺(tái)直接修改也可以，這是可以共存的，沒必要做二選一的事情。
因此既不應(yīng)該禁止用戶手動(dòng)修改文件，也不應(yīng)該刪除后臺(tái)的相關(guān)選項(xiàng)。

雖說后臺(tái)UC_API設(shè)置這塊連續(xù)爆出過多次getshell級(jí)別的漏洞（均已修復(fù)），從安全性上來講的確是要差一些的，對(duì)有條件的用戶，尤其是大型站點(diǎn)來說，最佳實(shí)踐也是給除data外所有文件分配到php進(jìn)程所在用戶組不可寫的狀態(tài)（甚至直接上root權(quán)限才可修改），相關(guān)內(nèi)容全部走手動(dòng)管理。
但畢竟手動(dòng)修改文件對(duì)小白用戶來說還是有一定難度的，而且小白用戶普遍沒有Linux基礎(chǔ)知識(shí)，適當(dāng)提供一些相關(guān)選項(xiàng)可以方便這部分用戶的使用（目前只涉及uc，dz本體的絕大多數(shù)config都是不允許后臺(tái)直接修改的）。當(dāng)然有條件的用戶還是建議升級(jí)安全級(jí)別的。

專家 發(fā)表于 2023-6-14 17:05
config文件本來就是設(shè)計(jì)用來編輯的，這沒啥不應(yīng)該的，其中的某些選項(xiàng)甚至都沒在后臺(tái)留編輯的口，必須直接 ...

你是說后臺(tái)的UC設(shè)置應(yīng)該刪除？網(wǎng)站配置https 的UC地址優(yōu)先通過改文件？

Discuz有償服務(wù) 發(fā)表于 2023-6-14 08:38
正常來說不應(yīng)該直接改文件，而是在后臺(tái)UC相關(guān)設(shè)置里直接設(shè)置UC地址為HTTPS地址 ...

config文件本來就是設(shè)計(jì)用來編輯的，這沒啥不應(yīng)該的，其中的某些選項(xiàng)甚至都沒在后臺(tái)留編輯的口，必須直接修改文件，為了防止入侵者利用后臺(tái)做破壞性大的事情。
只要用戶不是拿windows記事本改的就沒毛病。

愛之夢(mèng)美風(fēng) 發(fā)表于 2023-6-13 22:42
首先非常感謝您，我按照您的方法把問題解決了。
論壇我是從PW8.7轉(zhuǎn)到3.0，3.0升級(jí)3.4，最后再升級(jí)到3.5的 ...

正常來說不應(yīng)該直接改文件，而是在后臺(tái)UC相關(guān)設(shè)置里直接設(shè)置UC地址為HTTPS地址

專家 發(fā)表于 2023-6-12 22:58
關(guān)于頭像：
config/config_ucenter.php 和 uc_server/data/config.inc.php 這兩個(gè)文件
把里面的http換成h ...

首先非常感謝您，我按照您的方法把問題解決了。
論壇我是從PW8.7轉(zhuǎn)到3.0，3.0升級(jí)3.4，最后再升級(jí)到3.5的。
頭像轉(zhuǎn)換我只保留了原論壇自帶的頭像圖片和用戶上傳的圖片。
這兩種本身就在我論壇空間下保存，沒有影響。
網(wǎng)絡(luò)上直接引用的圖片我沒有轉(zhuǎn)換成功，就放棄了。
之后讓用戶自己重新上傳好了，所以可以不改動(dòng)頭像。
原始資源只能走h(yuǎn)ttp的都是老帖子，帖子資源大多本身就已經(jīng)失效了。
這類帖子我之后會(huì)該關(guān)閉的關(guān)閉，該更新的更新，對(duì)論壇的影響不大。
非常感謝您的解答，問題已經(jīng)解決了，在此設(shè)置為最佳答案，希望能幫助到后來人。

愛之夢(mèng)美風(fēng) 發(fā)表于 2023-6-12 17:20
謝謝您對(duì)我錯(cuò)誤的指出，我確實(shí)對(duì)這其中的概念并不是很了解。
論壇我是從PW8.7轉(zhuǎn)到3.0，3.0升級(jí)3.4，最后 ...

關(guān)于頭像：
config/config_ucenter.php 和 uc_server/data/config.inc.php 這兩個(gè)文件
把里面的http換成https
然后一定記得進(jìn)后臺(tái)更新緩存（在正確的https網(wǎng)址下面更新）

關(guān)于其他內(nèi)容：
如果你想快速全站https化，并且你確認(rèn)你站內(nèi)所有的http鏈接加了s都能訪問，
config/config_global.php里面找到 $_config['output']['upgradeinsecure']
選項(xiàng)的含義：在HTTPS環(huán)境下請(qǐng)求瀏覽器升級(jí)HTTP內(nèi)鏈到HTTPS，此選項(xiàng)影響外域資源鏈接且與自定義CSP沖突 0=關(guān)閉(默認(rèn))，1=打開
開啟后網(wǎng)站無需做任何調(diào)整就可以默認(rèn)切換所有http請(qǐng)求到https。
但是，如果原始資源只能走h(yuǎn)ttp，走不了https，你讓他自動(dòng)加上以后是會(huì)導(dǎo)致對(duì)應(yīng)的內(nèi)容無法正常顯示的。

愛之夢(mèng)美風(fēng) 發(fā)表于 2023-6-12 16:01
首先感謝您的回答，我知道X3.5本身是不需要修改的。
但是現(xiàn)在的問題是，只要論壇的頁(yè)面包含HTTP鏈接（例 ...

這個(gè)并不是問題，因?yàn)閷?shí)測(cè)國(guó)際上最主流的三大瀏覽器：Chrome Firefox Edge 均不會(huì)在純 https 下顯示綠標(biāo)這種東西，只會(huì)在網(wǎng)址前面顯示一把鎖。

你遇到的問題，極有可能是某家套殼瀏覽器自己杜撰的顯示形式，并不是一種符合國(guó)際標(biāo)準(zhǔn)的實(shí)現(xiàn)，因此可以無視。另外推薦使用標(biāo)準(zhǔn)的瀏覽器訪問網(wǎng)站。

  不要糾結(jié)綠標(biāo)。。   簡(jiǎn)單來個(gè)強(qiáng)制HTTPS

https調(diào)用http的圖片、js、css等資源，才會(huì)影響綠標(biāo)