本文关键词: Wellcms 非法 操作
希望以上内容对你有所帮助!如果还有其他问题,请随时提问。 各类知识收集 拥有多年CMS企业建站经验,对 iCMS, LeCMS, ClassCMS, Fastadmin, PbootCMS, PHPCMS, 易优CMS, YzmCMS, 讯睿CMS, 极致CMS, Wordpress, HkCMS, YznCMS, WellCMS, ThinkCMF, 等各类cms的相互转化,程序开发,网站制作,bug修复,程序杀毒,插件定制都可以提供最佳解决方案。
wellcms非法操作提示,由于 wellcms 前后台引入 token 安全机制,这是wellcms的一道安全锁。
每个用户随机分配 token ,每次刷新生成新的 token ,且不重复,且 JS 无法获取,即使拿到也无法解密。操作提交后,只有后端程序可解密,伪造 token 会解密失败,解密 token 成功之后,验证数据有效性,是否过期。
比如,以后的投稿,上传等等,没有 token 无法操作,限制了软件抓包伪造上传,想上传必须有后端生成的 token。
你可以在conf/conf.php中进行设置,开启,默认为关闭,但是后台敏感操作不受开关限制。
// token验证,开启后内容提交和上传都需要token,没有token无法操作。'upload_token' => 1, // 0关闭 1开启上传验证 token'message_token' => 0, // 0关闭 1开启发布内容验证 token'comment_token' => 0, // 0关闭 1开启评论验证 token'login_only' => 0, // 单点登录 0关闭 1开启'login_ip' => 0, // 验证IP 0关闭 1开启'login_ua' => 0, // 验证UA 0关闭 1开启
如果开启了CDN,需要在程序中配置开启CDN 为 1,否则会提示非法操作。
'cdn_on' => 1, // 1使用CDN获取数据 0为关闭,使用CDN必须设置此项为 1
token 很明显的就是做什么都需要令牌,而且该令牌是一次性的,每次刷新都分配新的令牌给你,该令牌不可伪造。
生成 token 的数据保护:用户ID、IP、时间,之后使用key加密。
生成token加密key
第一层:每个用户的登录md5值,每个值都加入了混淆码,因此不可测;
第二层:对取出的md5值再次md5加密;
第三层:新的md5值 + 64位key再次md5加密 ,生成加解密的key;
第四层:使用生成的key 对 token 数据加密,加密后仅限程序自身可解密,除非知道前三层生成key的数据,如果能知道这些数据,说明你的服务器已经被敌人占领。
第五层:用户提交数据给后端,后端拿到 token 后做以下验证。如果提交来的数据没有 token 直接拒绝该操作。
1.token 是否真实;
2.token 是否可以解密成功;
3.token 解密成功之后加密数据是否对应当前数据;
4.token 是否过期;
5.验证通过之后执行操作。
如果您对网站的内容有任何想法或意见,请call我!~~
由于1.0.020180506_beta版本对数据库结构和插件管理功能有比较大的改动因此如果是从旧版本升级到此版本,升级更新后务必一键清除缓存和浏览器缓存同时新版本数据库表的结构需......
下面我将详细介绍如何使用ThinkPHP框架实现短信验证注册功能,包括数据库设计、短信发送、验证码验证等完整流程。1. 数据库设计首先创建用户表和短信验证码表:sql复制-- 用......
前提(主框架版本 1.0.0.20191101_beta):首先安装好fastadmin 访问后台 插件管理->全新极验验证码 进行安装 安装后查看配置并保存,初次安装并没有写入配置数据......
统计栏目文章数 —— GetTotalArc(当前栏目ID),示例:{$eyou.field.typeid|GetTotalArc=###}...
下载地址:https://gitee.com/itzhoujun/fa-tp5大部分基本功能都已经简单测试过了。但是现有的插件都仅支持TP5.0,因此需要官方进行升级才行。本人心有余而力不足,所以把项目......
Workerman在线客服系统是否支持html代码插入显示效果如下图显示售前客服售后客服点击效果和Workerman在线客服系统 插件演示效果一致只是区分2个不同客服...
能不能说明一下那些文件不能改,改了之后升级后会覆盖?【群主】Karson-深圳使用Git的话都可以修改,不使用的话需要自己对比完成升级...
在FastAdmin的CMS插件中,调用父栏目信息可以通过使用特殊的模板变量$__CHANNEL__来实现。以下是具体的使用方法:获取当前栏目的父级栏目名称:{$__CHANNEL__.parent.name}这......
微信扫码分享