【已解答】子目录防跨站问题反馈-防跨站权限

目前宝塔的运行目录会自动生成防跨站配置文件。并且这个文件是受到保护的。普通权限不能删除和修改配置文件。但是我发现绑定子目录后。子目录下面没有生成防跨站文件。因此在子目录下面运行木马。可以跨越目录。获取到整个服务器中的文件。我尝试在子目录下面手动创建user.ini文件，可以防跨站，但是却可以任意删除和修改此文件。希望官方修复一下

宝塔技术-小强 · 发表于 2021-3-10 11:37:40

对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案，这个一直搁置了。
解决方案如下：

在fastcgi 配置中添加如下的配置
fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/";

复制代码

大炮运维V587 · 发表于 2021-3-10 11:43:26

您好，发帖问题质量较高，奖励宝塔币100。希望继续提供些优质的反馈！再次感谢！老天爷.gif

宝塔技术-小强 · 发表于 2021-3-10 11:43:30

因为这种属于一刀切的解决方案。

也尝试过一些方案。但是需要解决所有的用户配置。暂时是没有一个完美的解决方案

宝塔技术-小强 · 发表于 2021-3-10 11:44:51

后续解决方案是通过php 内核的方式去解决这块的问题

XUEIDC · 发表于 2021-3-10 12:18:57

本帖最后由 XUEIDC 于 2021-3-10 12:20 编辑

宝塔技术-小强发表于 2021-3-10 11:37
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案，这个一直搁置了。
解决方案如下： ...

这个是全局的吗？好像设置之后。所有站点全部都开启了防跨站，重点是一但设置之后好像不能复原了。。我删除这段代码。。访问网站就会报错

宝塔技术-小强 · 发表于 2021-3-10 14:00:09

XUEIDC 发表于 2021-3-10 12:18
这个是全局的吗？好像设置之后。所有站点全部都开启了防跨站，重点是一但设置之后好像不能复原了。 ...

就是因为不能单独设置每个站点。只是一个全局的设置。这部分只能依赖php 内核去修改这个东西了

宝塔技术-小强 · 发表于 2021-3-10 14:04:14

删除那段之后不会影响网站。网站报错肯定不是那段代码的原因

XUEIDC · 发表于 2021-3-10 15:52:50

宝塔技术-小强发表于 2021-3-10 14:00
就是因为不能单独设置每个站点。只是一个全局的设置。这部分只能依赖php 内核去修改这个东西了 ...

谢了。全局防跨站也是很不错的更安全

因为是女子 · 发表于 2021-3-15 16:28:28

宝塔技术-小强发表于 2021-3-10 11:37
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案，这个一直搁置了。
解决方案如下： ...

这种一刀切的办法非常好，但是如果thinkphp这类要改运行目录的源码，就会报错。。

Youngxj · 发表于 2021-4-11 10:11:12

确实不好权衡到底是一刀切还是给用户该有的自由度，且加上工作的繁忙，我也把这个事情搁置了，唉，等官方出一个好的方案吧。

Jophen · 发表于 2021-9-27 22:30:27

阿帕奇的怎么设置

█ 菠萝云-免费装宝塔,4G内存68 █	速智云-高性能高防服务器/五折起	★香港CN2云/站群/高防/特价机★	【个人信息保护的调研问卷】	【多途云】高防CDN
高防服务器，无视一切流量攻击	A7招租，联系qq394030111	OV/EV SSL证书，可当日签发	【阿里云】宝塔一键部署，5.5折	宝塔一键部署DV,EV,OV,SSL证书
█ 易探云·香港/美国vps仅9元 █	高防CDN全球节点99元\|服务器29元	★香港VPS首月免费★续费68元★	【阿里云】2核2G，3M，45.1元/年	在线网站测速、批量PING运维工具