【已解答】子目录防跨站问题反馈-防跨站权限

目前宝塔的运行目录会自动生成防跨站配置文件。并且这个文件是受到保护的。普通权限不能删除和修改配置文件。但是我发现绑定子目录后。子目录下面没有生成防跨站文件。因此在子目录下面运行木马。可以跨越目录。获取到整个服务器中的文件。我尝试在子目录下面手动创建user.ini文件，可以防跨站，但是却可以任意删除和修改此文件。希望官方修复一下

XUEIDC · 发表于 2021-3-10 12:18:57

本帖最后由 XUEIDC 于 2021-3-10 12:20 编辑

宝塔技术-小强发表于 2021-3-10 11:37
对于这个问题。宝塔安全部门去年讨论过了。
因为没有一个完美的解决方案，这个一直搁置了。
解决方案如下： ...

这个是全局的吗？好像设置之后。所有站点全部都开启了防跨站，重点是一但设置之后好像不能复原了。。我删除这段代码。。访问网站就会报错

XUEIDC · 发表于 2021-3-10 15:52:50

宝塔技术-小强发表于 2021-3-10 14:00
就是因为不能单独设置每个站点。只是一个全局的设置。这部分只能依赖php 内核去修改这个东西了 ...

谢了。全局防跨站也是很不错的更安全

【菠萝云】免费装宝塔,4G内存68	★美国CN2高防服务器★打死退款★	★香港CN2云/站群/高防/特价机★	【滴盾】高防服务器专抗DDOS	【多途云】高防CDN
高防服务器，无视一切流量攻击	SSL证书，防止数据被劫持	OV/EV SSL证书，可当日签发	宝塔一键部署DV,EV,OV,SSL证书	A10招租，联系qq394030111
★易探云.香港/美国/国内/游戏云★	【苍穹云】高性能云服务器 1.2折起	【迅线云盒】内网穿透-固定公网IP	高防服务器40核 64G 20M 199/月	【恒爱云】香港低至8元1核1G2M