TYPO3 安全性 - IPmaskList 和 HTTP_X_FORWARDED_FOR

【问题标题】:TYPO3 security - IPmaskList and HTTP_X_FORWARDED_FORTYPO3 安全性 - IPmaskList 和 HTTP_X_FORWARDED_FOR
【发布时间】:2018-03-19 14:27:54
【问题描述】:

我正在使用:

TYPO3 6.2

我想增加更多安全性并将对我们网站后端的访问限制在我们的 IP 范围内。问题:我相信我的公司使用代理并且:

getenv:HTTP_HOST -> the same for everyone

但如果我用打字稿显示:

getenv:HTTP_X_FORWARDED_FOR -> then the real IP appears !

但是参数[BE][IPmaskList]只关心HTTP_HOST,不关心FORWARDED FOR。如何解决我的问题?

我也尝试在 /typo3/ 文件夹中使用 .htaccess,但它不起作用:

<IfModule mod_rewrite.c>

    RewriteEngine On
    RewriteCond %{HTTP:X-FORWARDED-FOR} !^10$
    RewriteRule ^$ http://www.mycompany.com [R=301,L]

</IfModule>

(顺便说一句 mod_rewrite 工作正常,我在父 htaccess 中使用它来重写 url)。我的目标是拒绝所有后端,除非 HTTP:X-FORWARDED-FOR 以 10.x.x.x

开头

【问题讨论】:

    标签: typo3 typo3-6.2.x


    【解决方案1】:

    我会用一个 htaccess 文件来限制它。但是,如果您关心安全性,您应该考虑更新到最新版本 8.7,因为 6.2 已经结束生命!您还可以在typo3.com 上从typo3 GmbH 购买扩展支持

    【讨论】:

    • 您好 Georg,感谢您的回答。我尝试了您的解决方案,但没有任何反应...我已经使用 htaccess 代码编辑了我的第一篇文章。
    • Georg,我还有我的问题。当您谈到 htaccess 限制时,您的意思是“/typo3/”文件夹?它可能会产生一些与 sysext 和其他东西有关的错误吗?
    【解决方案2】:

    根据: https://github.com/TYPO3/typo3/blob/TYPO3_6-2/typo3/sysext/backend/Classes/FrontendBackendUserAuthentication.php#L187

    和: https://github.com/TYPO3/typo3/blob/TYPO3_6-2/typo3/sysext/core/Classes/Utility/GeneralUtility.php#L3468

    IPmaskList 与 HTTP_HOST 无关。

    也许您的 TYPO3 正在反向代理后面运行, 那么你需要正确设置“reverseProxyIP”和“reverseProxyHeaderMultiValue”。

    【讨论】:

      猜你喜欢
      • 2017-11-05
      • 1970-01-01
      • 2012-01-09
      • 2016-12-06
      • 1970-01-01
      • 2012-02-01
      • 2018-11-29
      • 2011-08-04
      • 2016-12-27
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode