VPS侦探论坛

 找回密码
 注册
查看: 1311|回复: 4

LNMP1.9安装FreshRSS开启防跨目录报错

[复制链接]
发表于 2023-5-16 13:12:04 | 显示全部楼层 |阅读模式

本人的情况和这个帖子很像https://bbs.vpser.net/thread-26470-1-1.html


LNMP1.9安装FreshRSS 1.21.0,nignx 配置信息类似 https://raw.githubusercontent.com/SkysCrystal/Figurebed/master/files/freshrss.conf,网站目录也是xxx.com/p。

本人是用的 lnmp dnsssl cf 申请的泛域名证书和创建虚拟主机,但额外使用了如rss.xxx.com这样的二级域名,也新弄了rss.xxx.com.conf,并手工创建了rss.xxx.com网站目录目录文件夹,所以也没有防跨目录文件 .user.ini ,按照这个网址里 https://lnmp.org/faq/lnmp-vhost-add-howto.html#user.ini 方法检查了没有 .user.ini 文件,此时无法正常访问FreshRSS,跳转到 rss.xxx.com/i 提示 “HTTP ERROR 500”。

如果注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/",重启后,FreshRSS就可以正常访问了。

请问怎么设置可以避免同服务器上的其它网站防跨目录呢?非常感谢!

美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2023-5-16 16:08:30 | 显示全部楼层


如果你不注注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的 fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/"; 肯定依然是防跨目录的状态,肯定会报错。
.user.ini 是另外一层防跨目录设置,如果是lnmp vhost add 肯定是存在的,可以保留,这个是隐藏文件没改设置的话一般文件管理肯定是看不到的直接ls肯定也看不到,这个虽然也是防跨目录,但是突破也都是有方法的
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2023-5-16 16:12:29 | 显示全部楼层

licess 发表于 2023-5-16 16:08
如果你不注注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的 fastcgi_param PHP_ADMIN_VALUE "open_based ...

也就是说,只能取消所有的防跨目录,无法做到指定网站取消。
美国VPS推荐: 遨游主机LinodeLOCVPS主机云搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2023-5-17 12:21:39 | 显示全部楼层



mzihen 发表于 2023-5-16 16:12
也就是说,只能取消所有的防跨目录,无法做到指定网站取消。

用 .user.ini,虽然不完美但是可以防跨站
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org
 楼主| 发表于 2023-5-18 23:01:50 | 显示全部楼层

licess 发表于 2023-5-17 12:21
用 .user.ini,虽然不完美但是可以防跨站

好的,谢谢军哥。

军哥运维代购:http://shop63846532.taobao.com/

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2024-5-20 04:47 , Processed in 0.026790 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表