关键漏洞信息 安全性改进 会话cookie现在更加安全,防止CSRF攻击 (#4883) 移除了CookieEditor和Emoticons插件,以删除未使用的脚本方法 (#4822, #4875) 在PhotoSwipe和Emoticons插件中添加了nonce,以防止XSS攻击 (#4822, #4875) 为联系表单功能添加了CSP保护 (#5413) 阻止SQL注入攻击 (#5409) 允许管理员尝试登录最多30秒,以防止暴力破解攻击 (#4851) 为登录页面添加了CSRF保护 (#5421) 当用户登录时,设置一个更长的session cookie有效期 (#4888) 修复的安全漏洞 修复了FlatPress直接处理.js文件的问题,激活FlatPress Protect插件后必须首先激活此修复 (#5790) 更新面板现在对XSS攻击更加安全 (#4822) 删除条目和删除静态页面现在对XSS和CSRF攻击更加安全 (#4820) 配置菜单中的XSS漏洞已修复 (#4878, #5650) 上传图像时固定了Exif元数据的泄露问题 (#4852) 通过检查设置文件和目录权限来防止符号链接攻击 (#5620) 从类别管理面板中移除了XSS漏洞 (#5760) 插件安全性 GDPR Video插件:简单的一键点击解决方案,符合GDPR要求,嵌入YouTube、Facebook和Vimeo视频 (#5209) 移除了LightBox2插件(仍可从Flatpress-extras repo获得) (#5359) 移除了LastComments Admin插件(仍可从Flatpress-extras repo获得) (#5559) 其他安全相关更改 RSS Feed插件:更新到版本1.9.0 - 在激活“允许BBcode在评论中”选项后,正确显示图像选择器 (#5911) - BBcode创建简单的URL (#4442) - 文件和图像现在按字母顺序正确排序 (#5457) - 正确格式化DataChanger工具栏的语言(捷克语、英语、日语和俄语)。由NhWc报告。非常感谢来自WinMan的支持论坛 (#4728) - 只有两个函数输出“下一个”或“上一个”链接,如果该月至少有一个条目 (#4728) - “下一个”,“上一个”和“天”链接现在始终包含4位数字 (#473) - 设置URL确定的第一页日期帐户现在也适用于FlatPress在负载均衡器或反向代理后面运行的情况 (#473) - 链接来自单个数字月份的年份始终是两位数 (#473) - BlockParser插件:更新到版本1.0.1 - 激活/停用后立即刷新激活插件列表 (#5213, #5244) - 移除过时的非持久性评论不再导致致命错误 (#5520) - Media Manager插件:更新到版本1.0.1 - 文件和目录按字母顺序排序 (#5457) - SEO Meta Tag Info插件: - 移除了跨站脚本(XSS)漏洞 (#4931) - 移除了画廊捕获插件中的跨站脚本(XSS)漏洞 (#5774) ``` 这些信息表明FlatPress 1.4 "Notturno" Release Candidate 2在安全性方面进行了多项改进和修复,包括增强会话cookie的安全性、防止CSRF和XSS攻击、修复插件中的安全漏洞等。