关注Z-Blog Feed及其产生的安全隐患

欢迎您访问我爱IT技术网，今天小编为你分享的电脑教程是建站经验系列之：【关注Z-Blog Feed及其产生的安全隐患】，下面是详细的分享！

关注Z-Blog Feed及其产生的安全隐患

　　Z-Blog的Feed分为静态Feed、动态Feed两种：

　　一、静态Feed：Z-Blog系统通过后台“索引重建”功能，可生成两种静态XML种子：

　　1、RSS2.0标准格式文件，文件名为rss.xml——如：http://www.zhengzhouseo.org/rss.xml

　　2、Atom1.0标准格式文件，格式为/feed.asp?atom——如：http://www.zhengzhouseo.org/feed.asp?atom

　　二、动态Feed：Z-Blog系统还可通过feed.asp文件，将博客内的一些数据制成动态RSS2.0标准的XML种子，方便读者订阅。用户可通过调用Feed文件内的参数，实现特定内容的订阅——例如：用户只关注博客的特定栏目，此时，只需调用Feed文件内的相关参数来订阅该栏目即可。

　　Z-blog系统的Feed提供多种参数调用，充分满足用户个性化需求，现将参数汇总如下：

　　参数 　　有效值 　　默认值 　　　　　　　　　描述

　　cate　 　 分类ID 　　 无 　　　　　　　　输出某分类文章RSS

　　tags 　　  TagID 　        无 　　　　　　　 对应tag最近的文章RSS

　　user 　　  用户ID 　　   无 　　　　　　　 对应用户最近发布的文章RSS

　　date 　　 年-月 　 　   无 　　　　　　　 对应 年-月 部分文章RSS

　　cmt 　　 文章ID 　输出整站最新评论 　　　相应文章的最新评论RSS

　　gb 　　　　无 　　　 无 　　　　　　　 留言本最新留言

　　Feed安全隐患：Feed安全隐患主要体现在动态Feed user参数调用上(订阅某个用户最近发表的文章)，通常使用http://blog地址/feed.asp?user=ID订阅z-blog某个用户最新文章时，程序会调用此用户的账户作为页面的标题。尤其在使用http://blog地址/feed.asp?user=1 订阅博主最新文章时，管理员账户会以较大的字体出现在页面的标题中，管理员账户暴露无遗，系统安全系数大幅降低。

　　Feed user隐患解决方法：在站点feed.asp文件中定位到“Function ExportRSSbyUser(UserID)”这个函数——Feed user参数调用函数，在该函数中找到“UserName=Users(UserID).Name”代码行(程序第151行)，直接修改变量UserName的值，如：“UserName="阿民"”，这样即可有效避免管理员账户的泄露。

　　扩展阅读：

　　如果你感觉Z-blog程序默认的Feed页面title过于单调，可适当进行修改。修改时，需定位到CSS/rss.xslt文件，查找“”标签，在该标签前后加入自定义title，如:“Rss订阅-

　　名词解释：

　　Feed，本意是“饲料、饲养、(新闻的)广播等”，RSS订阅的过程中会用到的“Feed”，便是在这个意义上进行引申，表示这是用来接收该信息来源更新的接口;Feed就是为满足希望以某种形式持续得到自己更新的需求而提供的格式标准的信息出口，可以理解为，你的Blog页面是给人读的，而Feed是给程序读的。更多请参阅Feed_百度百科。

　　

以上所分享的是关于关注Z-Blog Feed及其产生的安全隐患，下面是编辑为你推荐的有价值的用户互动：

　　相关问题：z-blog博客怎么制作主页面

　　答：一款Z-blog美化程序，使用本程序一个主题会有两种不同类型的风格。所有的界面风格都设置完毕，上传即用！ 单独的Z-blog风格文件下载地址： http://down.lusongsong.com/Soft/10001.html 1：为什么叫《低调与华丽》风格? 使用本站一个主题会有两... >>详细

　　相关问题：[PING中心和引用通告发送]=z-blog 中的具体进》》...

　　答：没什么联系 >>详细

　　相关问题：为什么用学校的教育网无法使用Feeddemon更新一些国...

　　答：我想应该是学校的校园网把一些用到的端口给封了，这就造成了无法更新。 >>详细