跳转至

安全配置

安全配置

Chevereto系统包含安全设置板块,使你拥有一个更安全,更值得信赖的图床网站。

ID编码

通过对Chevereto的公共ID编码避免了被一一列举的麻烦和不必要的错误链接。所有使用Chevereto的用户,以及其图片和相册都会被编码,对其链接进行加密。

ID的编码/解码

ID的编码/解码在你安装Chvereto的时候就已经执行了。每当你安装Chvereto时,系统会随机生成一个“crypt_salt”,通过CHV\encodeID()CHV\decodeID() 这两个函数,将数据库中储存的数字ID转化为更安全的字母数字ID,这也就意味着公共的ID会随着每次安装而改变。

跨站点请求伪装

跨站点请求伪装,简称CSRF,是一种未经用户许可,从远程网站传输指令欺骗网站的网站攻击手段。例如,自动删除请求内容。

跨站点请求伪装的保护

Chevereto的跨站点请求伪装保护基于令牌请求的使用。令牌请求在网站加载时由会话设置,并询问何时发出请求。如果令牌与会话不匹配,则表示会话未发起请求,系统会默认返回403 错误。

加密

Chevereto使用 BCrypt加密方法来储存密码和Cooike登录的个数。社交登录和“保持在线”功能则是使用BCrypt和随机方法组合的办法来加密。

验证码

Chevereto 添加了对 reCAPTCHA的支持,可以有效阻止注册、尝试暴力破解用户密码的非法机器人。在仪表板>设置>外部服务中,您可以启用或禁用验证码,并设置触发验证码的无效尝试次数。

无效请求

无效请求是指一个用户输入错误的密码或者CSRF令牌不匹配。每一次发生的无效请求,系统会默认记录该用户的IP地址,并记录下触发该无效请求的操作行为。

系统中有一个强大的编码设置,用来限制每天无效请求的出现次数。当用户的无效请求次数超过每天最大无效请求次数时,系统将会拒绝24小时内来自任何IP地址的请求。系统默认的最大无效请求次数为25次,当然了,你可以修改在 /app目录下的loader.php 文件,自定义最大无效请求次数。