继续跟踪跨目录问题。当前到底用什么安全？

moroke · 发表于 2011-7-16 15:39:56

本帖最后由 moroke 于 2011-7-16 15:42 编辑

等了一天服务器总算是同了。依然围绕跨目录的严重问题进行测试。。

测试结果当然也还好。

http://www.zijidelu.org/forum.php?mod=post&action=edit&fid=6&tid=2819&pid=15009&page=1

在apache中本lum非常有效的防止了跨目录问题。为网站安全做有效保障。

但在nginx中，暂时好像没什么安全策略。建议安全生产的用户暂且不要使用nginx以免伤害到服务器上的大众用户。

请大家使用apache。开了新站马上要去更改，默认是nginx的。。。。而且默认的index的php探针的 open_basedir这里暴露服务器用户目录。而这个探针在apache中是失效的。open_basedir这里也只是显示了自己的目录。所以非常安全。

当然我相信洞哥，在下个版本中会处理好这个问题。

爱洞特漏 · 发表于 2011-7-16 15:44:01

如果使用LUM的话，不管是apahce，还是nginx，都可以解决跨站问题的
http://www.zijidelu.org/thread-1752-1-1.html

moroke · 发表于 2011-7-16 15:56:14

爱洞特漏发表于 2011-7-16 15:44
如果使用LUM的话，不管是apahce，还是nginx，都可以解决跨站问题的
http://www.zijidelu.org/thread-1752- ...

恩。洞哥。终于出现了。要是用你说的策略完全是可以的。可惜....我这里一直连接不上授权。
所以····无奈了

爱洞特漏 · 发表于 2011-7-16 16:19:33

moroke 发表于 2011-7-16 15:56
恩。洞哥。终于出现了。要是用你说的策略完全是可以的。可惜....我这里一直连接不上授权。
所以···· ...

改/etc/resolv.conf没用？
只留一句：

servername 208.67.222.222

复制代码

试一下

moroke · 发表于 2011-7-16 21:49:15

爱洞特漏发表于 2011-7-16 16:19
改/etc/resolv.conf没用？
只留一句：试一下

重新启动过服务。还是依然。。这样。

爱洞特漏 · 发表于 2011-7-16 21:55:31

奇怪了...
通ping通，应该可以了啊！

在首页多刷新几次看看
对了，在首页能看到官方网站的公告吗？

moroke · 发表于 2011-7-16 23:47:44

本帖最后由 moroke 于 2011-7-16 23:48 编辑

爱洞特漏发表于 2011-7-16 21:55
奇怪了...
通ping通，应该可以了啊！
在首页多刷新几次看看

另外我想说下。。。本论坛登陆的时候，验证码是看着玩的？不写也可以进哦，

moroke · 发表于 2011-7-17 00:01:44

本帖最后由 moroke 于 2011-7-17 00:06 编辑

moroke 发表于 2011-7-16 23:47
另外我想说下。。。本论坛登陆的时候，验证码是看着玩的？不写也可以进哦，

我知道原因了。写DNS的里面第一行就写的有问题。。。只能保留一段。多余的全删除。我没注意看洞哥的提示。抱歉啊。

/etc/resolv.conf
nameserver 22.22.22.22

		自动登录	找回密码
密码			立即注册