男的舔女的下面视频在线播放-少妇愉情理仑片高潮日本-久久久久久国产一区二区三区-麻豆精品一区二区综合-国产精品超碰在线观看-网红极品女神精品视频在线-国产亚洲综合777-高清性视频一区二区播放-中文字幕第一页亚洲天堂

Discuz! 官方交流社區(qū)

標(biāo)題: Discuz! X3.4 附件無法刪除問題排查指引 [打印本頁]

作者: 老周部落 時間: 2023-1-27 14:37
標(biāo)題: Discuz! X3.4 附件無法刪除問題排查指引
一. 問題背景：

在 Discuz! X3.4 Release 20221220 版本中引入了針對附件刪除接口的 CSRF 規(guī)避措施，由于手機版部分插件、模板以及部分 PC 插件自行實現(xiàn)了附件刪除接口調(diào)用，因此可能導(dǎo)致該部分插件、模板使用異常。
本排查指引將告知如何排查相關(guān)問題。

二. 模板無法刪除附件排查
1. 在 template 目錄下找到出現(xiàn)問題的模板文件夾，將文件夾下載到本地計算機，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對整個文件夾下的所有文件進行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 如果可以找到 deleteattach，則參考以下示例代碼對文件進行修改。
4. 修改完成后將文件夾上傳回服務(wù)器，在后臺更新緩存后再試。

例如修改之前的代碼：

url:'forum.php?mod=ajax&action=deleteattach&inajax=yes&aids[]=' + obj.attr('aid'),

復(fù)制代碼

修改后：

url:'forum.php?mod=ajax&action=deleteattach&inajax=yes&formhash={FORMHASH}&aids[]=' + obj.attr('aid'),

復(fù)制代碼

三. 插件無法刪除附件排查
1. 在 source/plugin 目錄下找到出現(xiàn)問題的插件文件夾，將文件夾下載到本地計算機，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對整個文件夾下的所有文件進行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 如果可以找到 deleteattach，則參考以下示例代碼對文件進行修改。
4. 修改完成后將文件夾上傳回服務(wù)器，在后臺更新緩存后再試。

例如修改之前的代碼：

$url = 'forum.php?mod=ajax&action=deleteattach&inajax=yes&aids[]='.$aid;

復(fù)制代碼

修改后：

$url = 'forum.php?mod=ajax&action=deleteattach&inajax=yes&formhash='.FORMHASH.'&aids[]='.$aid;

復(fù)制代碼

附錄：關(guān)閉接口校驗
如果實在是無法排查到上述文件，又由于各種原因無法替換插件或者聯(lián)系插件作者進行升級，可以采取以下方案強制修改代碼關(guān)閉校驗。
關(guān)閉附件刪除接口安全校驗可能導(dǎo)致部分惡意攻擊者在網(wǎng)站安插惡意代碼導(dǎo)致附件被刪除的風(fēng)險，由此導(dǎo)致的安全風(fēng)險由站點自行承擔(dān)。
回退老版本或選擇放棄升級新版本不會解除該接口的安全風(fēng)險，反而由于其他漏洞未被正確修復(fù)給站點造成更大的安全風(fēng)險。

1. 該文件位于 source/module/forum/forum_ajax.php ，請將文件下載到本地計算機，并做好備份。
2. 使用 EditPlus / Notepad++ 等工具對文件進行搜索，搜索關(guān)鍵詞為 deleteattach 。
3. 找到下方所指示的代碼并按指引進行修改。
4. 修改完成后將文件上傳回服務(wù)器，在后臺更新緩存后再試。

修改前：

if(isset($_GET['aids']) && isset($_GET['formhash']) && formhash() == $_GET['formhash']) {

復(fù)制代碼

修改后：

if(isset($_GET['aids'])) {

復(fù)制代碼

作者: pcyi 時間: 2023-2-1 23:56
X3.5能用嗎？

歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/)