相信很多使用 Typecho 的小伙伴都升级到了 v1.2.0 版本,但是这个版本有个漏洞会导致评论有 XSS 入侵风险,下面就来说下怎么修复吧。
方法一
1、修改 var/Widget/Base/Comments.php
文件第 271 行为:
echo '<a href="' . Common::safeUrl($this->url) . '"'
2、修改 var/Widget/Feedback.php
文件第 209 行和 308 行为:
//209行
$comment['url'] = $this->request->filter('trim', 'url')->url;
//308行
$trackback['url'] = $this->request->filter('trim', 'url')->url;
3、修改 var/Widget/Options.php
文件第 85 行为:
* @property bool $commentsRequireUrl
方法二
升级到开发版 v1.2.1,官方地址:v1.2.1-rc
方法三
使用插件修复,Typecho AntiXSS Plugin,此插件仅适用于 Typecho 1.2.0 稳定版。
使用方法:将本插件上传至 /usr/plugins 目录下(并解压),如果插件文件夹名称为 Typecho-1.2-AntiXSS-master、Typecho-1.2-AntiXSS 则需改名为 AntiXSS;登录至 Typecho 控制台,到插件管理启用本插件即可(本插件无任何设置项)。
中招被黑了咋办
如果已经中招千万不要从后台评论管理页面删除,否则会被xss代码拿到cookie,记得从数据库删除评论!!!