windows防跨站严重漏洞，可导致服务器被毁

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：7.8.0

系统版本：Windows Server 2022 Datacenter (build 20348) x64 (Py3.8.6)

网站环境：IIS

问题描述：通过站点设置 -> 网站目录 -> 防跨站攻击，开启该选项后，php 网站可以通过修改 .user.ini 文件实现关闭防跨站攻击，若网站被不发分子通过程序漏洞，上传php一句话木马文件，获取网站目录时，开启防跨站可以防止其他网站或数据受到损害！

但经过测试，当某网站开启防跨站时，只需要通过PHP修改“.user.ini”文件的权限，和内容既可取消防跨站攻击，实现操控系统所有文件！实现步骤看下面：

相关截图（日志、错误）：

这里使用可道云的“KodExplorer” PHP文件管理器方便进行相关文件编辑和权限修改
开启防跨站后，其他目录及文件确实无法访问！
通过PHP 的 “chmod” 函数修改该文件权限为 “0755”，这里以“KodExplorer” PHP程序为例直接修改文件权限，安装“KodExplorer”的网站没有给予任何太多权限，为普通PHP网站，也没有给予 “exec” 等执行命令的函数权限！ 点击保存会直接修改成功！修改后不会立即生效，等待IIS重启或服务器重启时会立即生效！

一但生效后。若网站被挂一句话木马后果非常严重，可以访问任意文件夹，文件内容，网站数据，甚至是直接修改系统文件！！
这里“KodExplorer”只是做演示，其他PHP用 opendir 等函数一样可以随意浏览目录！！

目前本人已知的防护方法：通过属性，修改这两个用户的权限，取消其他所有权限，仅保留“读取”权限，既可！设置好后，通过PHP便无法修改该文件内容以及权限，但是经过测试，依然可以直接“unlink”删除该文件！


不知道这 算不算BUG？希望官方看到回复一下！！


不怕万一就怕一万，谁也不能保证你的网站程序不被挂马，或者一句话，看论坛也有好多用户说自己网站被挂马了，开启了防跨站攻击后，确实可以防止系统文件或其他网站被恶意修改，但不能防“.user.ini”自己！以至于一个网站被黑，整个服务器都遭殃！！

若非BUG，请问有没有解决方法？

asp和asp.net更是跨站严重，服务器上只要一个网站被黑，全部遭殃，windows下应该为每个站点单独分配用户才安全的。

这个是设计上的问题，别的软件都是为每个网站创建一个单独的用户，这样每个网站之间就完全隔离了，而宝塔所有网站全用www用户，整个D盘(数据盘)都能用www访问，当然就随便跨站了PHP还好有个user.ini ASP和.net就完全没有安全性可言了，甚至随便下载宝塔面板的数据库，然后破解了密码就直接登录服务器了。