重大消息,重大消息,ZBLOG博客程序发布2018年的第一个版本了,大家可以在网站后台,应用中心插件中直接升级,或是在zblog官网下载最新的安装包进行覆盖更新,关天zblog PHP新版本到底更新了那些内容,下面是来自zblog官方博客的“菠萝阁”的更新说明。

好久不见,我们又来啦!隆重为大家推荐本次更新,希望大家能尽快更新!

您可以在后台 -> 应用中心 -> 系统更新与校验 -> 升级新版程序,一键升级到最新版本

zblog php,zblog下载,zblog更新,zblog博客程序,zblog新版本发布

很高兴地告知大家,时隔一年,Z-BlogPHP 1.5.2终于发布了!

习近平总书记指出,没有网络安全就没有国家安全。时值国家安全日,响应国家号召,我们本次最大的更新即是,大大加强了程序本身的安全性,修复了一些可能存在的问题和隐患:

第一是,利用现代浏览器的安全特性,我们让程序支持了这些安全措施:

对 XSS 类型攻击的处理。我们利用现代浏览器的安全特性,对前台和后台都进行了加固。如果您使用了现代的浏览器的话,即使您的网站存在可能导致反射型XSS攻击的问题,您的浏览器也会自动为您阻拦。

对 https 网站的进一步支持。如果您的网站是基于 https 的,那么,您网站内所有 http 外链资源(如图片等),若支持 https 访问,将会自动升级到 https 访问。

对后台允许使用的资源的限制。这一点要求应用开发者对应用本身会引用的资源进行明确的声明,禁止在未声明的情况下访问站外资源。

第二是,对CSRF类型攻击的处理。我们对程序本身加上了令牌检测和来源检测,并且,我们将要求在应用中心上架的所有应用,对可能造成副作用的行为,均进行同样的检测,以保证不能从站外对您的网站进行攻击。

第三是,对登录进行了修改。我们弃用了 password 这一Cookie,使用了新的Cookie token,并保证JavaScript无法读取。

第四是,对程序主体加入了禁止直接访问的限制。

我们还更新了什么呢?

第一是,修复了对PHP 7.2的支持。

第二是,为MIP / AMP等类似插件提供了支持。我们将很快发布官方的百度MIP插件,为您的站点提供一键MIP支持。

在文末,再次感谢上海匡创信息技术有限公司为我们提交的漏洞。

有任何问题可以直接到论坛发帖,也可遵循一定的规范到我们的GitHub上提交Issue或提交代码。

感谢大家13年来对Z-Blog的支持,我们将持续为大家提供高质量的服务。新的一年,也请多多关照!

详细更新日志见:https://wiki.zblogcn.com/doku.php?id=zblogphp:changelog

开发者更新指南见:https://wiki.zblogcn.com/doku.php?id=zblogphp:development:features:1.5.2:security

直接下载:https://www.zblogcn.com/zblogphp/

GitHub Release: https://github.com/zblogcn/zblogphp/releases/