wordpress - 在 Wordpress 中使用带有可见 API 密钥的 WP Super Cache 的单个 Cloudflare 帐户
问题描述
我们开始在几个 Wordpress 客户帐户上使用 Cloudflare,并在 CDN 设置中注意到我的电子邮件地址和 API 密钥对客户可见。
这是一个潜在的安全问题,其他人可以看到我的 Cloudlflare 电子邮件地址和 API 密钥吗?我应该为每个客户帐户使用 1 个 Cloudflare 帐户吗?
这是一个屏幕截图(我已经模糊了 API 密钥并删除了控制台中的电子邮件输入框),但这两个值对客户都是可见的。
他们可以用这两条数据做的最糟糕的事情是什么?
解决方案
您必须使用令牌而不是全局 api 密钥。您仅对某些区域严格令牌
这只不能解决问题,您必须手动修改 wp 最快的缓存插件来修改请求以匹配 API 令牌的使用。请求可以在inc\cdn.php
修改后的文件: https ://gist.github.com/ahmed-abdelazim/7c8170f7fc4e821c6b015d770fcbf14a
所以
$header = array("method" => "DELETE",
'headers' => array(
"X-Auth-Email" => $email,
"X-Auth-Key" => $key,
"Content-Type" => "application/json"
),
"body" => '{"purge_everything":true}'
);
被转换为
$header = array("method" => "DELETE",
'headers' => array(
//"X-Auth-Email" => $email,
"Authorization" => "Bearer ".$key,
"Content-Type" => "application/json"
),
"body" => '{"purge_everything":true}'
);
这在 cdn.php 文件的插件中发生了五次
推荐阅读
- twitter-bootstrap - 引导单元鼠标悬停背景更改
- javascript - 如何读取 jsben.ch 基准测试结果?
- spring-boot - @Autowired 错误:变量 kafkaTemplate 可能尚未初始化
- visual-studio-code - 从 Visual Studio 代码工作区中删除子文件夹
- shuffle - bedtools shuffle -excl 似乎没有警告一致的命名约定
- powershell - 如何使用 dism.exe 检查 Windows 功能是否在 Windows 7 上打开/关闭?
- java - 在 IntelliJ 中运行项目时找不到 Feign Codec Class Def 但在 eclipse 中工作正常
- powerbi - 除第一个日期外的所有日期都设置为 0 的度量值
- jetty - Wicket 类 org.apache.wicket.protocol.http.WicketFilter 不是 jakarta.servlet.Filter
- openlayers - Openlayers 6 + ol-ext,图例文本格式