这段时间刚升级了 Typecho,群友就提示我 1.2 版本有漏洞,于是我就去查了一下 
Typecho 1.2 评论存在 XSS 漏洞,攻击者可以在评论中注入恶意脚本来攻击网站用户。
该漏洞可能会导致用户的人信息泄露、账户被盗等安全问题。建议用户尽快升级到最新版本或采取其他安全措施来保护自己的网站数据安全。
搜了一下,目前有三种解决方法:
- 更新V1.2.1-RC版本
- 修改来自GitHub提交的#1547PR
- 暂时关闭评论
1.2.0版本修复方法
第一步:修改 var/Widget/Base/Comments.php 文件大约第 271 行
找到第 271 行
echo '<a href="' . $this->url . '"'改为
echo '<a href="' . Common::safeUrl($this->url) . '"'第二步:修改 var/Widget/Feedback.php 文件大约第 209 行和 308 行
找到第 209 行和 308 行
第209行 $comment['url'] = $this->request->filter('trim')->url;
第308行 $trackback['url'] = $this->request->filter('trim')->url;改为
第209行 $comment['url'] = $this->request->filter('trim', 'url')->url;
第308行 $trackback['url'] = $this->request->filter('trim', 'url')->url;第三步:修改 var/Widget/Options.php 文件大约第 85 行
找到 85 行
* @property bool $commentsRequireURL改为
* @property bool $commentsRequireUrl这样就可以了 
本文作者:Leginn
本文链接:https://blog.leginn.top/archives/typecho12ping-lun-xsslou-dong-xiu-fu.html
版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载及引用请联系作者,并注明出处(作者、原文链接等)。
[...] 关于本站下面是博客信息博客框架使用的是 Typecho 主题使用的 VOID 我还搭建了一个 Hexo 博客 已经弃用了博客托管于阿里云香港博客使用的插件在「博客使用插件」已有列出,如有疑问请在里面留言 19 年的时候在阿里云搭建过,后面因为其他原因关停了一段时间,再想恢复时发现备份丢失了? 关于本人目前是一名大三学生历程 2024.04.07 将博客迁移到阿里云香港,Typecho 升级到 1.2.12023.05 [...]