首页 > 文章资讯 > 站长教程 > 建站知识 > 关于FastAdmin 1.2.0版本之前插件管理离线安装的安全说明

关于FastAdmin 1.2.0版本之前插件管理离线安装的安全说明

时间：2023年05月29日

来源：网络

编辑：佚名

FastAdmin是一款基于ThinkPHP5+Bootstrap开发的极速后台开发框架，大大加快了开发者对于网站后台管理的开发。
FastAdmin中的插件，也是FastAdmin生态的重要组成部分，目前已经有100多款应用插件可供开发者使用，开发者可使用这些应用插件来快速的搭建自己的网站、小程序、商城、CMS等等系统。
FastAdmin中插件管理有两种方式安装插件，一种是使用在线安装，另一种是使用离线安装，在线安装简单方便，离线安装稳定不受网络限制。
在FastAdmin 1.2.0.20201001_beta之前的所有版本，插件管理中的离线安装功能都是没有做插件压缩包的限制的，因此如果你的后台被非法(账号泄漏或XSS)登录，且你未做好目录权限的安全限制，可能被恶意上传有安全隐患的离线插件。
因此我们建议你在项目上线前关闭离线安装插件的功能，关闭的方法是修改application/admin/controller/Addon.php中的local方法，将
public function local(){
Config::set('default_return_type', 'json');
$file = $this->request->file('file');
....
}
方法内容第一行添加一行return;,如下
public function local(){
return ;
Config::set('default_return_type', 'json');
$file = $this->request->file('file');
....
}
此时将无法再通过离线安装的方式安装插件
做完以上限制只是限制了离线安装。
其次插件市场中的一部分便于开发者开发调试的插件，诸如：在线命令行、数据库、在线文件管理等插件，建议你在项目正式上线前都卸载删除，同时做好目录安全配置。
我们是建议项目上线前全部禁止项目addons目录的写权限，然后再按需要给对应的目录或文件添加写权限。
关于安全和目录权限配置，官方文档中有一章节专门讲了代码安全和服务器安全，链接：https://doc.fastadmin.net/doc/security.html
从1.2.0.20201001_beta版本开始，框架已经对离线安装做了MD5验证，已经无法安装未知来源的插件压缩包。但这不代表你就可以不做代码安全和服务器安全，
服务器安全和项目目录权限配置仍然是缺一不可的。

新闻资讯更多

猜你需要