新增账号安全通知

V 阿呆 屌  (UID: 1) 站长 [复制链接]
帖子链接已复制到剪贴板
帖子已经有人评论啦,不支持删除!

873 10

一,账号安全通知

在您登录成功后,如果之前存在他人尝试登录您的账号,将告知您尝试登录的时间和IP

如果对方意外登录成功,将要求强制进行邮箱验证,验证成功后才可进入网站。

每次登录成功,将通过您绑定的邮箱发送通知

修改密码 页面,展示最近登录成功的5个IP,可核查有无异常IP。

如果不想接收登录成功邮件,可以前往 自定义 偏好设置,关闭登录通知。

避免盗号人修改您的安全邮箱,增加了“先验证,后修改”方案,修改邮箱必须验证旧邮箱。

二,系统安全加固

更新所有用户token,并在token中强制验证密码,加入 HttpOnly 阻断XSS获取token,历史token全部失效,伪造token将无法通过数据库比对。

删除xiuno的30分钟免检逻辑(如果 Token 是最近 30 分钟内生成的,系统会跳过密码验证直接放行)

移除xiuno核心文件对HTTP_CLIENT_IP信任,攻击者可利用此伪造用户 IP 。

本站服务器由 DangYun 友情提供
已有评论 ( 10 )
提示:您必须 登录 才能查看此内容。
域名市场
   域名载入中...
创建新帖
自助推广 (点击空位或 这里 添加)
确认删除
确定要删除这篇帖子吗?删除后将无法恢复。
删除成功
帖子已成功删除,页面将自动刷新。
删除失败
删除帖子时发生错误,请稍后再试。