当前位置:论坛首页 > BUG提交 > Linux面板

【已解答】子目录防跨站问题反馈-防跨站权限

发表在 BUG提交2021-3-10 11:01 [复制链接] 11 12765

目前宝塔的运行目录会自动生成防跨站配置文件。并且这个文件是受到保护的。普通权限不能删除和修改配置文件。但是我发现绑定子目录后。子目录下面没有生成防跨站文件。因此在子目录下面运行木马。可以跨越目录。获取到整个服务器中的文件。我尝试在子目录下面手动创建user.ini文件,可以防跨站,但是却可以任意删除和修改此文件。希望官方修复一下
使用道具 举报 只看该作者 回复
发表于 2021-3-10 11:37:40 | 显示全部楼层
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案,这个一直搁置了。
解决方案如下:
  1. 在fastcgi 配置中添加如下的配置
  2. fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/";
复制代码



微信截图_20210310114025.png
使用道具 举报 回复 支持 1 反对 0
发表于 2021-3-10 11:43:26 | 显示全部楼层
您好,发帖问题质量较高,奖励宝塔币100。希望继续提供些优质的反馈!再次感谢! 老天爷.gif
使用道具 举报 回复 支持 反对
发表于 2021-3-10 11:43:30 | 显示全部楼层
因为这种属于一刀切的解决方案。

也尝试过一些方案。但是需要解决所有的用户配置。暂时是没有一个完美的解决方案
使用道具 举报 回复 支持 反对
发表于 2021-3-10 11:44:51 | 显示全部楼层
后续解决方案是通过php 内核的方式去解决这块的问题
使用道具 举报 回复 支持 反对
发表于 2021-3-10 12:18:57 | 显示全部楼层
本帖最后由 XUEIDC 于 2021-3-10 12:20 编辑
宝塔技术-小强 发表于 2021-3-10 11:37
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案,这个一直搁置了。
解决方案如下: ...

这个是全局的吗?  好像设置之后。所有站点全部都开启了防跨站,重点是  一但设置之后   好像不能复原了。。我删除这段代码。。访问网站就会报错
使用道具 举报 回复 支持 反对
发表于 2021-3-10 14:00:09 | 显示全部楼层
XUEIDC 发表于 2021-3-10 12:18
这个是全局的吗?  好像设置之后。所有站点全部都开启了防跨站,重点是  一但设置之后   好像不能复原了。 ...

就是因为不能单独设置每个站点。只是一个全局的设置。这部分只能依赖php 内核去修改这个东西了
使用道具 举报 回复 支持 反对
发表于 2021-3-10 14:04:14 | 显示全部楼层
删除那段之后不会影响网站。网站报错肯定不是那段代码的原因
使用道具 举报 回复 支持 反对
发表于 2021-3-10 15:52:50 | 显示全部楼层
宝塔技术-小强 发表于 2021-3-10 14:00
就是因为不能单独设置每个站点。只是一个全局的设置。这部分只能依赖php 内核去修改这个东西了 ...

谢了。全局防跨站也是很不错的   更安全
使用道具 举报 回复 支持 反对
发表于 2021-3-15 16:28:28 | 显示全部楼层
宝塔技术-小强 发表于 2021-3-10 11:37
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案,这个一直搁置了。
解决方案如下: ...

这种一刀切的办法非常好,但是如果thinkphp这类要改运行目录的源码,就会报错。。
使用道具 举报 回复 支持 反对
发表于 2021-4-11 10:11:12 | 显示全部楼层
确实不好权衡到底是一刀切还是给用户该有的自由度,且加上工作的繁忙,我也把这个事情搁置了,唉,等官方出一个好的方案吧。
使用道具 举报 回复 支持 反对
发表于 2021-9-27 22:30:27 | 显示全部楼层
阿帕奇的怎么设置
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

普通问题处理

论坛响应时间:72小时

问题处理方式:排队(仅解答)

工作时间:白班:9:00 - 18:00

紧急运维服务

响应时间:3分钟

问题处理方式:宝塔专家1对1服务

工作时间:工作日:9:00 - 18:30

宝塔专业团队为您解决服务器疑难问题

立即付费处理

工作时间:09:00至24:00

快速回复 返回顶部 返回列表