小樱 发表于 2021/2/24 22:14

kangle asp怎么在请求控制设置防跨站,运行用户应该怎么设置?

kangle asp怎么在请求控制设置防跨站,运行用户应该怎么设置?

HI,小樱,问下,虚拟主机里面有个运行用户,为什么我添加了新的系统账号,文件夹也给了账号权限,但是还是无法运行站点的?留空就可以运行,请教了。

不会设置就让系统默认啊!

但是站点已经加入了用户,文件夹也加了用户,也给了权限,是不是其他盘也要加账号权限的,因为IIS就是设置IIS就可以了

kangle权限很严格的,如果要跨权,不可能。。。

其实我是想降权,因为不知道kangle下的站点账号权限去到哪里
但是我想了解下这个运行用户应该怎么设置,不可能用超级管理员账号去跑站点的,对吧?

你有搭配ep吗,ep的话会自动创建1001等用户组进行低权限运行

没呢,直接在控制台操作的呢,但是我在系统手动新建账号应该也一样吧,顺便说下我的是windows系统呢

这快说起来非常麻烦,我建议的话,你可以直接加装个ep,或者使用upupw等集成kangle的Windows版本

今天测试了一下,只要我用超级管理员启动Kangle的,那么站点都拥有越权目录的功能,所以这个想解决一下。

仅供参考,站点跨权是PHP的事情,和kangle用户组这个无关

; open_basedir, if set, limits all file operations to the defined directory
; and below.This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
; open_basedir = "${doc_root}:/tmp"
php.ini,去掉分号,即可实现跨权防御
open_basedir = "${doc_root}:/tmp"

我这个open_basedir = 好像是空的,没有东西,前面分号去掉了的。
发现那个运行用户好像不是系统那种用户的,这个是它内部划分用的。然而还是可以跨路径访问。

不能留空,参考我提供给你的设置
PHP官网介绍:https://www.php.net/manual/zh/security.cgi-bin.doc-root.php
跨站访问路径是php的事情,和运行用户无关,运行用户的跨站和php这个不一样

那个运行用户具体是有什么用的?好像不添加,然后设置应用池独享也可以?

运行用户是防跨权用的,用户A无法访问用户B的文件数据

嗯,这个明白了,但是站点A和站点B都是基于Kangle的超级管理员的哦,虽然站点A不能直接访问站点B的数据,但是站点A如果有罗列整个盘符的代码,就可以下载了。好像做不到像IIS的系统用户权限划分。

访问到所有文件是你的PHP配置不当,引起的跨站问题,设置方法我之前说了
你百度一下asp配置文件能不能设置类似open_basedir的防跨站功能,在kangle请求控制中无法解决这个问题。
跨站是运行脚本语言的问题,例如php语言就通过open_basedir可以解决跨站。
kangle只负责单独用户组权限运行并且拉起php语言,每个php之间是互相防止跨站的,用户A无法访问用户B内容。
如果脚本语言跨站,这个问题是脚本语言的,kangle不负责解决这问题也无法解决,其它nginx,apache等也是一样的逻辑

不可名 发表于 2021/2/26 00:47

标记标记
页: [1]
查看完整版本: kangle asp怎么在请求控制设置防跨站,运行用户应该怎么设置?