大神进来看看这个算不算是漏洞

卖火柴小二郎 · 发表于 2025-4-13 19:38:09

/forum.php?aid=MjM5OHwwZWZlNjlkY3wxNzI2NDI3NDM4fDB8ODg0%C2%AChumb=yes&mod=attachment
怎么才能杜绝别人通过这个直接下载图片呢而却还不需要打开网站就可以下载

我知道答案回答被采纳将会获得1 贡献已有6人回答

asdgdg · 发表于 2025-4-13 20:02:31

设置ref禁止为空（不过也可以伪造就是了，防小白，难一点的可以把这些静态资源加参数鉴权，有效期十几秒就过期

东至人网 · 发表于 2025-4-13 21:02:55

me too

卖火柴小二郎 · 发表于 2025-4-13 21:13:34

东至人网发表于 2025-4-13 21:02
me too

这样是封不玩的啊

crx349 · 发表于 2025-4-13 21:32:22

设置附件过期时间哦
后台全局上传设置论坛附件附件有效期设置下

东至人网 · 发表于 2025-4-14 13:56:01

我这边附件都在oss，OSS开启了ref禁止为空，但是他这种采集的逻辑我也不太清楚，如果利用楼主的链接不知道能否直接打开，这种看起来应该是有本站域名的来路，所以我也不太清楚到底是否有用。

东至人网 · 发表于 2025-4-14 13:58:48

直接访问图片的话，是403，但是从网站某个帖子中打开图片链接是可以打开的，因为有本站域名的来路。

[求助] 大神进来看看这个算不算是漏洞