Tham gia Đăng nhập
Điểm:2
trazom avatar Drupal

Tôi có cần cài đặt máy chủ đáng tin cậy không?

lá cờ cn
trazom

Tôi có cần cài đặt máy chủ đáng tin cậy cho trang web Drupal 7 không? Nếu vậy làm thế nào để tôi cấu hình nó?

Tôi nhận thấy rằng Phông nền CMS có nó trong tệp cài đặt của họ.

92
2 + 0
7
Điểm:4
apaderno avatar Drupal
lá cờ us
apaderno

Drupal 7 chỉ giới hạn độ dài của tên máy chủ là 1000 byte để ngăn chặn các cuộc tấn công DoS và nó không chấp nhận tên máy chủ chứa dấu gạch chéo, nhưng nó không hạn chế tên máy chủ được phép dựa trên giá trị được đặt trong cài đặt.php tệp, giống như Drupal 8 và Drupal 9.

Mã kiểm tra giá trị của HTTP_HOST tiêu đề được chứa trong drupal_valid_http_host().

// Giới hạn độ dài của tên máy chủ là 1000 byte để ngăn chặn các cuộc tấn công DoS với
// tên máy chủ dài.
return strlen($host) <= 1000 && substr_count($host, '.') <= 100 && substr_count($host, ':') <= 100 && preg_match('/^\[?(?:[a -zA-Z0-9-:\]_]+\.?)+$/', $host);

Hàm được gọi bởi drupal_environment_initialize().

if (!isset($_SERVER['HTTP_REFERER'])) {
  $_SERVER['HTTP_REFERER'] = '';
}
if (!isset($_SERVER['SERVER_PROTOCOL']) || $_SERVER['SERVER_PROTOCOL'] != 'HTTP/1.0' && $_SERVER['SERVER_PROTOCOL'] != 'HTTP/1.1') {
  $_SERVER['SERVER_PROTOCOL'] = 'HTTP/1.0';
}
if (isset($_SERVER['HTTP_HOST'])) {
  // Vì HTTP_HOST là đầu vào của người dùng, đảm bảo nó chỉ chứa các ký tự được phép
  // trong tên máy chủ. Xem RFC 952 (và RFC 2181).
  // $_SERVER['HTTP_HOST'] được viết thường ở đây theo thông số kỹ thuật.
  $_SERVER['HTTP_HOST'] = strtolower($_SERVER['HTTP_HOST']);
  if (!drupal_valid_http_host($_SERVER['HTTP_HOST'])) {
    // HTTP_HOST không hợp lệ, ví dụ: nếu chứa dấu gạch chéo thì đó có thể là một cuộc tấn công.
    tiêu đề($_SERVER['SERVER_PROTOCOL'] . ' 400 Yêu cầu không hợp lệ');
    lối ra;
  }
}
khác {
  // Một số máy khách trước HTTP/1.1 sẽ không gửi tiêu đề Máy chủ. Đảm bảo chìa khóa là
  // được xác định để tuân thủ E_ALL.
  $_SERVER['HTTP_HOST'] = '';
}

Có một bản vá nên thêm vào Drupal 7 cùng mã được sử dụng bởi Drupal 8, trong Không thể tin cậy tiêu đề HTTP_HOST. Hiện tại, quá trình phát triển Drupal 7 bị chậm lại, đặc biệt là khi Drupal 8 và Drupal 9 được phát triển đồng thời.
Vì đó được coi là một cải tiến bảo mật (rõ ràng là ít có khả năng xảy ra để được coi là một vấn đề bảo mật hoặc vấn đề sẽ không được thảo luận công khai), bạn có thể áp dụng bản vá được cung cấp trong vấn đề đó (bản mới nhất là, tại thời điểm tôi đăng câu trả lời này, https://www.drupal.org/files/issues/2021-02-04/http_host_header_cannot_bet_trusted-2221699-151.patch) và bắt đầu sử dụng $conf['trusted_host_patterns'].

0 + 0
Điểm:1
avatar Drupal
lá cờ cn
Clive

Các mẫu máy chủ đáng tin cậy là được giới thiệu trong Drupal 8. Không có gì để cấu hình cho Drupal 7.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.