相信很多使用 Typecho 的小伙伴都升级到了 v1.2.0 版本,但是这个版本有个漏洞会导致评论有 XSS 入侵风险,下面就来说下怎么修复吧。

方法一

1、修改 var/Widget/Base/Comments.php 文件第 271 行为:

echo '<a href="' . Common::safeUrl($this->url) . '"'

2、修改 var/Widget/Feedback.php 文件第 209 行和 308 行为:

//209行
$comment['url'] = $this->request->filter('trim', 'url')->url;

//308行
$trackback['url'] = $this->request->filter('trim', 'url')->url;

3、修改 var/Widget/Options.php文件第 85 行为:

 * @property bool $commentsRequireUrl

方法二

升级到开发版 v1.2.1,官方地址:v1.2.1-rc

方法三

使用插件修复,Typecho AntiXSS Plugin,此插件仅适用于 Typecho 1.2.0 稳定版。

插件地址点我前往

使用方法:将本插件上传至 /usr/plugins 目录下(并解压),如果插件文件夹名称为 Typecho-1.2-AntiXSS-master、Typecho-1.2-AntiXSS 则需改名为 AntiXSS;登录至 Typecho 控制台,到插件管理启用本插件即可(本插件无任何设置项)。

中招被黑了咋办

如果已经中招千万不要从后台评论管理页面删除,否则会被xss代码拿到cookie,记得从数据库删除评论!!!

Last modification:May 25, 2023
© Allow specification reprint
如果觉得我的文章对你有用,请随意赞赏