LNMP1.9安装FreshRSS开启防跨目录报错

mzihen

本人的情况和这个帖子很像https://bbs.vpser.net/thread-26470-1-1.html


LNMP1.9安装FreshRSS 1.21.0，nignx 配置信息类似 https://raw.githubusercontent.com/SkysCrystal/Figurebed/master/files/freshrss.conf，网站目录也是xxx.com/p。

本人是用的 lnmp dnsssl cf 申请的泛域名证书和创建虚拟主机，但额外使用了如rss.xxx.com这样的二级域名，也新弄了rss.xxx.com.conf，并手工创建了rss.xxx.com网站目录目录文件夹，所以也没有防跨目录文件 .user.ini ，按照这个网址里 https://lnmp.org/faq/lnmp-vhost-add-howto.html#user.ini 方法检查了没有 .user.ini 文件，此时无法正常访问FreshRSS，跳转到 rss.xxx.com/i 提示 “HTTP ERROR 500”。

如果注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/"，重启后，FreshRSS就可以正常访问了。

请问怎么设置可以避免同服务器上的其它网站防跨目录呢？非常感谢！

licess

如果你不注注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的 fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root/:/tmp/:/proc/"; 肯定依然是防跨目录的状态，肯定会报错。
.user.ini 是另外一层防跨目录设置，如果是lnmp vhost add 肯定是存在的，可以保留，这个是隐藏文件没改设置的话一般文件管理肯定是看不到的直接ls肯定也看不到，这个虽然也是防跨目录，但是突破也都是有方法的

mzihen

licess 发表于 2023-5-16 16:08
如果你不注注释掉 /usr/local/nginx/conf/fastcgi.conf 里面的 fastcgi_param PHP_ADMIN_VALUE "open_based ...

也就是说，只能取消所有的防跨目录，无法做到指定网站取消。

licess

mzihen 发表于 2023-5-16 16:12
也就是说，只能取消所有的防跨目录，无法做到指定网站取消。

用 .user.ini，虽然不完美但是可以防跨站

mzihen

licess 发表于 2023-5-17 12:21
用 .user.ini，虽然不完美但是可以防跨站

好的，谢谢军哥。