3.4因为用cdn出现的问题，3.5又出现了

打降油路过得 · 发表于 2023-2-14 16:49:07

进管理员页面一直输密码进不去，进uc一直cccc验证码，又开始出现了

用国外的vps和cdn

1 贡献

Discuz! X3.5 针对常见CDN/WAF/负载均衡，如何获取真实IP？
https://www.dismall.com/thread-15034-1-1.html
(出处: Discuz!交流社区)

1314学习网 · 发表于 2023-2-14 16:50:48

Discuz! X3.5 针对常见CDN/WAF/负载均衡，如何获取真实IP？
https://www.dismall.com/thread-15034-1-1.html
(出处: Discuz!交流社区)

打降油路过得 · 发表于 2023-2-15 23:08:53

1314学习网发表于 2023-2-14 16:50
Discuz! X3.5 针对常见CDN/WAF/负载均衡，如何获取真实IP？
https://www.dismall.com/thread-15034-1-1.htm ...

我现在3.4没改这些也没问题，为什么3.5会这样，越改越差？

kavid · 发表于 2023-2-16 20:03:46

打降油路过得发表于 2023-2-15 23:08
我现在3.4没改这些也没问题，为什么3.5会这样，越改越差？

我用3.4没碰到你的问题，你用的什么cdn》？

湖中沉 · 发表于 2023-2-16 20:06:56

打降油路过得发表于 2023-2-15 23:08
我现在3.4没改这些也没问题，为什么3.5会这样，越改越差？

3.5获取IP的方式变了，将获取更真实的IP，但CDN下IP是经过CDN转发的，需要结合CDN获取真实IP，而3.4的IP获取方式直接但能被构建欺骗制造假IP。所以理论上是X3.5的更优，但CDN需要和对应CDN配合配置正确的获取方式

专家 · 发表于 2023-2-16 23:22:15

打降油路过得发表于 2023-2-15 23:08
我现在3.4没改这些也没问题，为什么3.5会这样，越改越差？

不但不是差，反而是进化。
需要人工配置才能保证安全获取。
早期版本图省事，直接猜测正确ip，黑客也省事，可以随意伪造ip。
你不要安全性，嫌麻烦，别人还想要呢。

实在不怕死的，配置项里有恢复到原始逻辑的开关，自己打开即可。网站被人打了可别后悔。

打降油路过得 · 发表于 2023-3-1 22:48:10

专家发表于 2023-2-16 23:22
不但不是差，反而是进化。
需要人工配置才能保证安全获取。
早期版本图省事，直接猜测正确ip，黑客也省事 ...

配置项里有恢复到原始逻辑的开关，大佬，具体在那里？

dashen · 发表于 2023-3-2 09:48:36

打降油路过得发表于 2023-3-1 22:48
配置项里有恢复到原始逻辑的开关，大佬，具体在那里？

config/config_global.php
$_config['security']['onlyremoteaddr'] = 1;
将1改成0

yezirui · 发表于 2023-3-2 10:15:45

专家发表于 2023-2-16 23:22
不但不是差，反而是进化。
需要人工配置才能保证安全获取。
早期版本图省事，直接猜测正确ip，黑客也省事 ...

不是很明白，意思是X3.4有可以随意伪造ip的漏洞是吗？听起来很危险的亚子......

专家 · 发表于 2023-3-2 15:33:32

yezirui 发表于 2023-3-2 10:15
不是很明白，意思是X3.4有可以随意伪造ip的漏洞是吗？听起来很危险的亚子...... ...

x3.4只能保证大致猜中IP，无法保证获取真实IP，确实不太安全。但是也能凑合用。

[已解决] 3.4因为用cdn出现的问题，3.5又出现了