大神进来看看这个算不算是漏洞 New

ysx24 发表于 2026-2-5 03:02:39

/forum.php?aid=MjM5OHwwZWZlNjlkY3wxNzI2NDI3NDM4fDB8ODg0%C2%AChumb=yes&mod=attachment
怎么才能杜绝别人通过这个直接下载图片呢而却还不需要打开网站就可以下载

我知道答案回答被采纳将会获得1 贡献已有6人回答

ROBOT 发表于 2026-2-5 03:03:22

设置ref禁止为空（不过也可以伪造就是了，防小白，难一点的可以把这些静态资源加参数鉴权，有效期十几秒就过期

yusr 发表于 2026-2-5 03:03:53

me too

霸王别姬 发表于 2026-2-5 03:04:44

这样是封不玩的啊

IT618应用中心 发表于 2026-2-5 03:05:12

设置附件过期时间哦
后台全局上传设置论坛附件附件有效期设置下

余赚网 发表于 2026-2-5 03:05:21

我这边附件都在oss，OSS开启了ref禁止为空，但是他这种采集的逻辑我也不太清楚，如果利用楼主的链接不知道能否直接打开，这种看起来应该是有本站域名的来路，所以我也不太清楚到底是否有用。

IT618应用中心 发表于 2026-2-5 03:05:56

直接访问图片的话，是403，但是从网站某个帖子中打开图片链接是可以打开的，因为有本站域名的来路。

页: [1]

DiscuzQ源码网's Archiver