针对用户登录表单可能存在链接及框架注入的问题进行了更新。如果服务器没有WAF保护(网站应用级入侵防御系统),本次更新能解决这些问题。在这个版本中,后台程序集成了一个类似于WAF的拦截功能。后台会检测表单的合法性。另外,在使用强制性密码安全检测时,会对密码进行弱口令检测。密码中拒绝存在类似于以下的弱密码的密码字符串。
1111
8888
(连续的相同字符)
12345
6543
(连续的数字递增或递减)
abce
nmlk
(字符串的连续递增或递减)
qwer
asdf
zxcv
(键盘上的连续按键)
如果以上还不能满足您的要求,请修改WEB-INF/classes/weakpwd文件内的清单增加匹配的内容。上面的加粗的是通过算法处理,类似的无需加入清单。
-------------------------------------------------------------
1.修复主站文章系统中如果是跳转类文章,不能正确提取URL的问题。
2.修复专辑内自定义栏目设为主要无效的问题。
3.解决搜索结果的无排序问题(按ID倒序)。
4.修复截取字符串中的一个算法错误。
5.优化搜索结果显示。
6.修复访问分析中的URL编解码过程中可能出现在的错误。
7.评论留言支持表情、粗斜体、链接等。
8.消息系统增加[url:href]标签。
9.修复专辑管理页中自定义栏目无法删除的问题。
10.针对表单安全性进一步加固。
11.加入弱口令检测。
12.修复用户登录表单可能存在链接及框架注入的问题。