Drupal 7 密码重置请求在浏览器中显示电子邮件内容
Drupal 7 password reset request shows contents of email in browser
我是 运行 PHP 版本 5.2.17 上的 Drupal 7.41 站点。我请求重设密码,在通常的 "Further instructions have been sent to your e-mail address" 消息之上,我收到了一条很长的调试类型消息,它以
开头
2015-10-29 12:24:13 Connection: opening to 127.0.0.1:25, t=10, opt=array ( ) 2015-10-29 12:24:13 Connection: opened 2015-10-29 12:24:13 SMTP -> get_lines(): $data was "" 2015-10-29 12:24:13 SMTP -> get_lines(): $str is...
结束
SMTP -> get_lines(): $data was "" 2015-10-29 12:24:13 SMTP -> get_lines(): $str is "250 Reset OK " 2015-10-29 12:24:13 SMTP -> get_lines(): $data is "250 Reset OK " 2015-10-29 12:24:13 SERVER -> CLIENT: 250 Reset OK
在所有这一切的中间,它实际上显示了密码重置 link - 因此任何请求密码重置的人都可以转到此 link 并直接登录。
我究竟做了什么让我的网站如此不安全?
以下是我为解决此问题所做的事情:
1) 检查 /admin/reports/status 问题。
2) 检查 /admin/config/development/logging 是否已将 'Error messages to display' 设置为 None。
3) 检查我没有任何特定于开发的模块 运行。
4) 安装了 https://www.drupal.org/project/security_review 并遵循了它的建议。
5) 意识到我已经安装了 https://www.drupal.org/project/phpmailer 来发送电子邮件...
6) 检查/admin/config/system/phpmailer处phpmailer的配置,发现在'Advanced SMTP settings'下,我把'Debug level'设置为'Full communication'。踢自己这么白痴,把它改成 'Disabled'.
问题已解决。
我是 运行 PHP 版本 5.2.17 上的 Drupal 7.41 站点。我请求重设密码,在通常的 "Further instructions have been sent to your e-mail address" 消息之上,我收到了一条很长的调试类型消息,它以
开头2015-10-29 12:24:13 Connection: opening to 127.0.0.1:25, t=10, opt=array ( ) 2015-10-29 12:24:13 Connection: opened 2015-10-29 12:24:13 SMTP -> get_lines(): $data was "" 2015-10-29 12:24:13 SMTP -> get_lines(): $str is...
结束
SMTP -> get_lines(): $data was "" 2015-10-29 12:24:13 SMTP -> get_lines(): $str is "250 Reset OK " 2015-10-29 12:24:13 SMTP -> get_lines(): $data is "250 Reset OK " 2015-10-29 12:24:13 SERVER -> CLIENT: 250 Reset OK
在所有这一切的中间,它实际上显示了密码重置 link - 因此任何请求密码重置的人都可以转到此 link 并直接登录。
我究竟做了什么让我的网站如此不安全?
以下是我为解决此问题所做的事情:
1) 检查 /admin/reports/status 问题。
2) 检查 /admin/config/development/logging 是否已将 'Error messages to display' 设置为 None。
3) 检查我没有任何特定于开发的模块 运行。
4) 安装了 https://www.drupal.org/project/security_review 并遵循了它的建议。
5) 意识到我已经安装了 https://www.drupal.org/project/phpmailer 来发送电子邮件...
6) 检查/admin/config/system/phpmailer处phpmailer的配置,发现在'Advanced SMTP settings'下,我把'Debug level'设置为'Full communication'。踢自己这么白痴,把它改成 'Disabled'.
问题已解决。