Skip to content
Permalink
master
Switch branches/tags
Go to file
 
 
Cannot retrieve contributors at this time

修复 LeanCloud 统计插件安全漏洞

在配置前,请升级 NexT 至 v6.0.6 以上。

在配置过程中请注意博客配置文件主题配置文件的区别。


注册 LeanCloud 并创建应用

  • 首先,前往 LeanCloud 官网 leancloud.cn 进行注册,并登录。

    请注意,目前华东节点和华北节点创建应用需要先在账号设置完成实名认证,并且官方表明“在国内市场将只服务于可验证的商业客户”;美国节点暂无上述要求,并且账号系统与华东节点和华北节点是独立的,如需使用请前往 LeanCloud 国际版官网 leancloud.app 注册登录。

  • 然后点击图示 1 处,进入控制台:

    1

  • 接着,点击图示 1 处,创建应用:

    2

  • 在弹出窗口 1 处输入应用名称(可随意输入,可更改,为演示方便取名为test),并选择 2 处“开发版”,然后点击 3 处创建:

    3

到这里应用创建完成。

建立 Counter 类并在 NexT 中启用插件

  • 点击 1 处应用名称进入应用管理界面:

    4

  • 如图,点击侧边栏 1 处创建 Class:

    5

  • 在弹出窗口 1 处填入 Counter,勾选 2 处无限制,并点击 3 处创建 Class:

    6

  • 此时类已创建完成。接下来点击图示 1 处进入设置,然后点击 2 处进入应用 Key:

    8

  • 粘贴 App IDApp KeyNexT主题配置文件 _config.yml 对应位置。此时配置文件应如下:

    leancloud_visitors:
      enable: true
      app_id: # <your app id>
      app_key: # <your app key>
      # Required for apps from CN region
      server_url: # <your server url>
      # Dependencies: https://github.com/theme-next/hexo-leancloud-counter-security
      security: true
  • 设置Web安全域名确保域名调用安全。点击 1 处进入安全中心,然后在 2 处填写自己博客对应的域名(注意协议、域名和端口号需严格一致):

9

到这里内容均与 Doublemine 的为NexT主题添加文章阅读量统计功能这篇文章相同,只不过截图为新版的Leancloud的界面。

部署云引擎以保证访客数量不被随意篡改

  • 点击左侧 1 处云引擎,然后点击 2 处部署,再点击 3 处在线编辑:

    10

  • 点击 1 处创建函数:

    11

  • 在弹出窗口选择 1Hook 类型,然后 2 处选择 beforeUpdate3 处选择刚才建立的 Counter 类。在 4 中粘贴下方代码后,点 5 处保存。

    var query = new AV.Query("Counter");
    if (request.object.updatedKeys.includes('time')) {
        return query.get(request.object.id).then(function (obj) {
            if (obj.get("time") > request.object.get("time")) {
                throw new AV.Cloud.Error('Invalid update!');
            }
            return request.object.save();
        });
    }

    如图所示:

    12

  • 点击保存后应出现类似红框处函数。此时点击 1 处部署:

    13

  • 在弹出窗口点击 1 处部署:

    14

  • 等待出现红框处的成功部署信息后,点击 1 处关闭:

    15

至此云引擎已成功部署,任何非法的访客数量更改请求都将失败。

进一步设置权限

  • 打开NexT主题配置文件 _config.yml,将 leancloud_visitors 下的 security 设置为 true(如没有则新增):

    leancloud_visitors:
      enable: true
      app_id: # <your app id>
      app_key: # <your app key>
      # Required for apps from CN region
      server_url: # <your server url>
      # Dependencies: https://github.com/theme-next/hexo-leancloud-counter-security
      security: true
  • 打开 cmd 并切换至博客根目录,键入以下命令以安装 hexo-leancloud-counter-security 插件:

    npm install hexo-leancloud-counter-security
    
  • 打开博客配置文件 _config.yml,新增以下配置:

    leancloud_counter_security:
      enable_sync: true
      app_id: <your app id>
      app_key: <your app key>
      username:
      password:
  • 在相同目录键入以下命令:

    hexo lc-counter register <username> <password>
    

    hexo lc-counter r <username> <password>
    

    <username><password> 替换为你自己的用户名和密码(不必与 LeanCloud 的账号相同)。此用户名和密码将在 Hexo 部署时使用。

    • 打开博客配置文件 _config.yml,将 <username><password> 替换为你刚刚设置的用户名和密码:
    leancloud_counter_security:
      enable_sync: true
      app_id: <your app id>
      app_key: <your app key>
      username: <your username> #如留空则将在部署时询问
      password: <your password> #建议留空以保证安全性,如留空则将在部署时询问
  • 博客配置文件 _config.ymldeploy 下添加项:

    deploy:
      # other deployer
      - type: leancloud_counter_security_sync
  • 返回 LeanCloud 控制台的应用内。依次点击 1 2,检查 _User 表中是否出现一条记录(图示以用户名为 admin 为例):

    16

  • 点击 1 处进入 Counter 表,依次点击 2 3,打开权限设置:

    17

  • 点击 1 add_field 后选择 2 指定用户, 并将下两栏留空: 此处应与下条 create 设置相同(选择你所创建的用户):

    18

  • 点击 1 create 后选择 2 指定用户, 在 3 处键入用户名,点击 4 处后点击 5 处添加:

    19

    完成此步操作后,界面应与图示类似:

    20

  • 点击 1 delete 后选择 2 指定用户, 并将下两栏留空:

21

至此权限已设置完成,数据库记录只能在本地增删。

每次运行 hexo d 部署的时候,插件都会扫描本地 source/_posts 下的文章并与数据库对比,然后在数据库创建没有录入数据库的文章记录。

如果在博客配置文件中留空 usernamepassword ,则在部署过程中程序会要求输入。


原文链接:https://leaferx.online/2018/02/11/lc-security/