好久不见,我们又来啦!隆重为大家推荐本次更新,希望大家能尽快更新!
您可以在后台 -> 应用中心 -> 系统更新与校验 -> 升级新版程序,一键升级到最新版本。
很高兴地告知大家,时隔一年,Z-BlogPHP 1.5.2终于发布了!
习近平总书记指出,没有网络安全就没有国家安全。时值国家安全日,响应国家号召,我们本次最大的更新即是,大大加强了程序本身的安全性,修复了一些可能存在的问题和隐患:
第一是,利用现代浏览器的安全特性,我们让程序支持了这些安全措施:
对 XSS 类型攻击的处理。我们利用现代浏览器的安全特性,对前台和后台都进行了加固。如果您使用了现代的浏览器的话,即使您的网站存在可能导致反射型XSS攻击的问题,您的浏览器也会自动为您阻拦。
对 https 网站的进一步支持。如果您的网站是基于 https 的,那么,您网站内所有 http 外链资源(如图片等),若支持 https 访问,将会自动升级到 https 访问。
对后台允许使用的资源的限制。这一点要求应用开发者对应用本身会引用的资源进行明确的声明,禁止在未声明的情况下访问站外资源。
第二是,对CSRF类型攻击的处理。我们对程序本身加上了令牌检测和来源检测,并且,我们将要求在应用中心上架的所有应用,对可能造成副作用的行为,均进行同样的检测,以保证不能从站外对您的网站进行攻击。
第三是,对登录进行了修改。我们弃用了 password 这一Cookie,使用了新的Cookie token,并保证JavaScript无法读取。
第四是,对程序主体加入了禁止直接访问的限制。
我们还更新了什么呢?
第一是,修复了对PHP 7.2的支持。
第二是,为MIP / AMP等类似插件提供了支持。我们将很快发布官方的百度MIP插件,为您的站点提供一键MIP支持。
在文末,再次感谢上海匡创信息技术有限公司为我们提交的漏洞。
有任何问题可以直接到论坛发帖,也可遵循一定的规范到我们的GitHub上提交Issue或提交代码。
感谢大家13年来对Z-Blog的支持,我们将持续为大家提供高质量的服务。新的一年,也请多多关照!
详细更新日志见:https://wiki.zblogcn.com/doku.php?id=zblogphp:changelog
开发者更新指南见:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security
直接下载:https://www.zblogcn.com/zblogphp/
GitHub Release: https://github.com/zblogcn/zblogphp/releases/
您可以通过以下方式向我们提交漏洞:
360补天漏洞应急响应中心:https://butian.360.cn/Loo/submit
联系邮箱:【Base64】Y29udGFjdEByYWluYm93c29mdC5vcmc=
