2026-06-06 安全修复

本次修复 3 个高危险级安全问题：

1. 长期登录 Token 过期校验

• 文件：model/user.func.php
• 恢复服务端 token 时间校验。
• 将 bbs_token 有效期从约 100 天缩短为 30 天。
• 对解密出的 uid 做整数与有效性校验。

1. Session Cookie 安全属性

• 文件：model/session.func.php
• session.cookie_secure 改为根据 HTTPS 自动启用。
• 新增 session.cookie_samesite = Lax。
• 保留 HttpOnly，降低 XSS 读取 Session Cookie 风险。

1. CDN 模式 IP 伪造防护

• 文件：xiunophp/misc.func.php
• 开启 CDN 后，不再无条件信任 X-Forwarded-For、HTTP_CLIENT_IP 等请求头。
• 只有 REMOTE_ADDR 命中 cdn_ip 白名单时，才读取 CDN 转发的真实用户 IP。
• 增加 IPv4 格式校验，异常 IP 回退到 REMOTE_ADDR。
• 新增配置项：
• conf/conf.php
• conf/conf.default.php

CDN 配置示例：

'cdn_on' => 1,
'cdn_ip' => array('1.2.3.4', '5.6.7.*'),

安装影响：

• 当前已安装站点已补充 conf/conf.php 配置项。
• 新安装站点会从 conf/conf.default.php 生成 conf/conf.php，因此也会带上本次修复。
  
  
  

  欢迎大家加入QQ交流群：785017513