Admin log里奇怪的显示:出现了Mark、User等多余字样
版面规则
《发帖时,请复制下列格式文本,提供完整的信息,勿简略发布》
###### 以下为“基本的提问格式” ######
如果需要,请提供测试用的账号与密码
若是管理账号,请使用短信联系站长
《发帖时,请复制下列格式文本,提供完整的信息,勿简略发布》
###### 以下为“基本的提问格式” ######
- 主机操作系统: Windows (XP, 7, 8, 10)、Linux(Redhat,Centos, Mandrake等等)、或者其他的(请务必注明版本)
- 快速架站程序: AppServ、XAMPP 等等(请务必注明版本号)
- 您的上网方式:ADSL、Cable、FTTB等等 (请务必留下 ISP 名称或 ISP 官网)
- 您安装的程序: Apache + php + MySQL 或者其他的组合 (请务必留下版本号,如果使用上面的快速架站程序就不必写了)
- 您的 phpBB 版本: phpBB 3.2.2
- 您的域名: 比如 phpbbchinese.com
- 您的 phpBB 网址: 比如 https://www.phpbbchinese.com/
- 安装扩展: 请注明安装扩展的名称,版本以及参考链接(非扩展问题免填)
- 安装风格: 请注明安装的风格名称,版本以及参考链接(非风格问题免填)
- 错误代码: 请使用 Code 标签将错误代码标识出来,如下:
代码: 全选
错误代码
- 错误状态:如果没有错误代码,请直接贴出截图,或者是详细叙述错误状态内容。
如果需要,请提供测试用的账号与密码
若是管理账号,请使用短信联系站长
Admin log里奇怪的显示:出现了Mark、User等多余字样
但这两天把原Apache上的phpBB3.2.5迁至Nginx1.14.2上来(再在Apache之前还是用的Nginx1.14版),配的是PHP 7.2.14(原先7.3之前发帖出现过问题,还是回归7.2系列了)出现了奇怪的现象,如截图显示:它的表格栏目字出现在了单元格里,而从前单元格里只有内容而元表格栏目字样的。
除此外,还出现了想清除Admin log时,点选全选即Mark All的多选框没反应的现象,在Firefox、Chrome上均如此。
目前,转归Apache后问题消失,而在Nginx上虽有这种奇怪现象,但论坛功能却又正常无误。
因此,判断上是js载入相关?
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
看上去是把那些标记为不显示的内容给显示出来了。
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
最好把网址发出来看看。用浏览器的开发工具看看,是否有什么内容没有载入。
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
管理员真细心!
我用F12也查到这个问题了(就是这个dfn style="display none;",正常情形下是有display:none的,出现额外字样的就没有这个display: none),以为是跟js代码有关,也许是没载入。试了多次未成,又迁回原先的服务器。
刚才想到一个问题,搜索会儿,特来报告。
LAMP和LEMP我都是自己摸索着编译的,PHP的模块中有个libxml2,我在编译时用了个参数CFLAGS='-Os' ,想着能把可执行文件给整小那么一些(在PHP上试过,效果相当好,从40、 50MB直接至少一半)。
代码: 全选
curl ftp://xmlsoft.org/libxml2/libxml2-2.9.9.tar.gz | tar xz
cd libxml2-2.9.9
CFLAGS='-Os' ./configure --with-zlib --without-python
make && make install
代码: 全选
timsort.h: In function ‘libxml_domnode_tim_sort’:
timsort.h:487:21: warning: inlining failed in call to ‘PUSH_NEXT’: call is unlikely and code size would grow [-Winline]
static __inline int PUSH_NEXT(SORT_TYPE *dst,
^~~~~~~~~
timsort.h:554:8: note: called from here
if (!PUSH_NEXT(dst, size, store, minrun, run_stack, &stack_curr, &curr)) {
^~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
timsort.h:487:21: warning: inlining failed in call to ‘PUSH_NEXT’: call is unlikely and code size would grow [-Winline]
或许我再重新编译一下PHP,可能 有不同结果。我再试试。
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
重新编译了两次,这次大体弄明白了。
结论是,并非编译参数的问题,还换了编译器,把GCC降级到CentOS7的4.8.5处理。也就是说,除了去掉了CFLAGS那个压缩参数,还换了感觉更稳定的GCC工具,但仍然出现这样的问题。
最后,实在觉得可能是Nginx配置文件有问题,再查下去,想到了之前给Nginx配置上增加了一 系列“头文件安全参数”,如等。
于是一个一个用排除法测试,发现
add_header Content-Security-Policy "default-src 'self';";
做了如此设置的头文件信息导致了以上的现象。
根据这里(https://content-security-policy.com/)对这个头文件设置的说明,我想应当是CSS样式表的载入问题,于是又试了下,如果上述设置(假设仍然要保证所谓的“安全”不放弃头文件信息的加入的话)用
这样的设置就可以了。
不明白的是,phpBB3的样式表似乎应当是自己自带的,而不是外引的,为什么去掉了style-src 'self'就行了呢?
参考(附带测试,大家均可尝试一下)
https://www.keycdn.com/blog/http-security-headers
https://securityheaders.com/
https://observatory.mozilla.org/
结论是,并非编译参数的问题,还换了编译器,把GCC降级到CentOS7的4.8.5处理。也就是说,除了去掉了CFLAGS那个压缩参数,还换了感觉更稳定的GCC工具,但仍然出现这样的问题。
最后,实在觉得可能是Nginx配置文件有问题,再查下去,想到了之前给Nginx配置上增加了一 系列“头文件安全参数”,如
代码: 全选
#add_header Strict-Transport-Security "max-age=31536000;" always;
#add_header X-XSS-Protection "1; mode=block";
#add_header X-Content-Type-Options "nosniff" always;
于是一个一个用排除法测试,发现
add_header Content-Security-Policy "default-src 'self';";
做了如此设置的头文件信息导致了以上的现象。
根据这里(https://content-security-policy.com/)对这个头文件设置的说明,我想应当是CSS样式表的载入问题,于是又试了下,如果上述设置(假设仍然要保证所谓的“安全”不放弃头文件信息的加入的话)用
代码: 全选
add_header Content-Security-Policy "script-src 'self'; connect-src 'self'; img-src 'self';";
不明白的是,phpBB3的样式表似乎应当是自己自带的,而不是外引的,为什么去掉了style-src 'self'就行了呢?
参考(附带测试,大家均可尝试一下)
https://www.keycdn.com/blog/http-security-headers
https://securityheaders.com/
https://observatory.mozilla.org/
上次由 baoang 在 2019年2月9日 14:31,总共编辑 1 次。
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
看了你的分析,明白了是安全配置问题。
Content-Security-Policy "script-src 'self';
script-src 换成 default-src 试试看。
或者换上 default-src 'self' 'unsafe-inline'
vi
https://developer.mozilla.org/en-US/doc ... script-src
Content-Security-Policy "script-src 'self';
script-src 换成 default-src 试试看。
或者换上 default-src 'self' 'unsafe-inline'
vi
https://developer.mozilla.org/en-US/doc ... script-src
Re: Admin log里奇怪的显示:出现了Mark、User等多余字样
试过,已经完成,感谢站长指点。
看来这些新的规范也是很要人命的。
看来这些新的规范也是很要人命的。