security - TYPO3：“类型”参数的可疑值。安全问题？

一般来说，如果请求的参数值在 TYPO3中没有配置，https://www.example.com/path/?type=694则可以认为像这样的 URL。typeconfig.typeNum

对于大多数参数，有一个选项可以在 TYPO3 中配置允许的值，但是明确不建议涉及config.typeNum，TypoScript状态参考：

不要在config.linkVars列表中包含类型参数，因为这可能会导致意外行为。

type与随机值一起使用的其他参数（不是！）

因此，假设有另一个参数被请求的值未在 TYPO3 安装中配置。一个常见的参数是L用于请求页面的语言。如果有一个包含 3 种语言的页面，则主语言有参数L=0，第二语言有参数L=1，最后一种语言有参数L=2。
在这种情况下，可以在 TypoScript 中配置允许的值

config.linkVars = L(0-2)

如果允许的链接变量从不代表线性范围，则可以这样配置：

config.linkVars = L(0|5|23)

也可以使用更通用的方法，因此可以限制这些值至少代表整数值：

config.linkVars = L(int)

参考：

• 配置有关config.linkvars
• 有关语言的配置

其他注意事项

可以在服务器配置中（即在文件中）在更高级别过滤不允许的页面调用.htaccess。此配置的方法可以包含在列表中

• 不允许的参数（或值）将用户重定向到主页或 TYPO3 的错误页面
• 不允许的参数（或值）将用户重定向到 TYPO3 之外的页面，可能是没有动态内容的静态页面
• 不允许的参数（或值）阻止用户访问任何服务器（通常是可定义的时间，即 10 分钟）
• 带有不允许的参数（或值）的页面请求被记录或被丢弃

此列表可能不完整，但仍足以进行一些考虑。
关于这些努力存在多种意见，一种意见是系统 TYPO3 和管理员应该被告知任何访问权限，并且可能能够解决用户看到错误但应该看到常规页面的一些问题。
为什么 TYPO3 管理员应该被告知一些未提供的参数或参数值可能还有更多的争论，但是应该考虑一些争论：

• DDOS 攻击用请求淹没服务器，直到服务器无法处理任何请求。
• 在 TYPO3 中，每个请求都在填充数据库和硬盘中的一些空间。
• 防火墙还过滤请求，并且不应该允许 TYPO3-admin 可能将防火墙切换为非活动状态，TYPO3 没有特殊步骤不会通知防火墙阻止的请求。

因此，可能有一些错误的参数是出于好的目的发送的，但许多请求可能有其他目的，建议阻止或重定向某些请求类型。服务器应该受到保护，并且 TYPO3 的错误日志一直保持苗条，以至于记录的错误与可能需要 TYPO3 管理员干预的 TYPO3 问题广泛相关。