火急求助，關于formhash校驗

老周部落

ysx24 發表于 2023-1-27 10:11
能不增在系統增加適配所有插件的參數
然后在支持手機端的插件加入這個參數即可，不至于插件因為formhash ...

您可以在插件里面搜索 forum.php?mod=ajax&action=deleteattach ，看看能不能找到對應節點。
修改方法請參照 https://gitee.com/Discuz/DiscuzX/pulls/1834/files

老周部落

另外我個人想了解一下大概這次對您影響的范圍有幾個插件？我看了一下應該主要就是附件刪除這一個節點

ysx24

老周部落 發表于 2023-1-27 12:39
另外我個人想了解一下大概這次對您影響的范圍有幾個插件？我看了一下應該主要就是附件刪除這一個節點 ...

已知四個，網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了需要關閉這些插件，不然默認模板默認刪除都失效，癥狀就是刪除但發帖后復現
還不包括已經關閉未測試的
其中有些是19年古董但及其經典插件
猜測所有上傳類、自帶刪除類插件都受影響

專家

ysx24 發表于 2023-1-27 11:21
可以負責任的說，這不是猜測，如假包換

哎…算了，不行回滾11月20號之前的版本鏡像止步，不過要丟失大量 ...

你這個懷疑就沒有必要了
到目前為止主要的安全更新，都不是由應用中心，以及存在任何利益相關的開發者完成的。

不過話說我很好奇，像上傳網盤oss之類的需要掛鉤第三方的插件會斷更那么久么？你該不會是全挑的冷門的開發者買的吧？
正常來說需要對接第三方的可是要一直跟進第三方的API變更的，如果長時間不更新基本上很容易就壞掉再也不能用了。

老周部落

ysx24 發表于 2023-1-27 13:10
已知四個，網盤插件、手機上傳視頻和大附件上傳視頻插件、oss插件等自帶刪除附件全部受到影響
3.5加量了 ...

X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件，網盤和 OSS 確實。
您可以先看下 deleteattach 在您插件里面能否搜索到，不行的話我發一個關閉刪除附件節點校驗的方法。

ysx24

老周部落 發表于 2023-1-27 13:44
X3.5 默認觸屏版可以替換手機上傳視頻和大附件上傳視頻插件，網盤和 OSS 確實。
您可以先看下 deleteatta ...

這個剛剛試了搜不到，老周大大快說說方法

老周部落

ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到，老周大大快說說方法

upload/source/module/forum/forum_ajax.php
找到：

1. if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復制代碼

改成：

1. if(isset($_GET['aids'])) {

復制代碼

此修改會關閉刪除附件功能的 CSRF 校驗，由此導致的安全風險自擔

老周部落

ysx24 發表于 2023-1-27 14:11
這個剛剛試了搜不到，老周大大快說說方法

改成了以教程貼形式呈現，具體可以看 http://www.9999xn.com/thread-15602-1-1.html

ysx24

老周部落 發表于 2023-1-27 14:20
upload/source/module/forum/forum_ajax.php
找到：

非常感謝，問題解決
至于CSRF 校驗需要時間對老插件逐步修復，沒辦法一些老插件非常經典現在同類插件根本無法比肩
如 ck8_video
以后慢慢開啟formhash   暫時不行
再次感謝