关于织梦后台DedeCMS：CSRFTokenCheckFailed提示的处理方法

　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。出现DedeCMS:CSRF Token Check Failed!，由于您重新打开了一个需要CSRF校验的表单页面。现在我们去解决这个问题。

　　织梦后台CSRF Token Check Failed解决方法

　　织梦后台-模块-文件管理器，修改文件会报CSRF Token Check Failed的解决方法

　　打开 dede/file_manage_view.php 找到

　　$path_parts =pathinfo($filename); 大约处于121行

　　在它下面一行加入

　　$GLOBALS[‘token’]=make_hash();

　　完成。

　　修改文件就不会再出现DedeCMS:CSRF Token Check Failed!这个提示了，如果您觉得有用，就请点个赞吧！

　　网站迁移到阿里云之后，一直提示有一个漏洞，如下：

　　漏洞名称：dedecms后台文件任意上传漏洞

　　补丁文件：media_add.php

　　漏洞描述：dedecms早期版本后台存在大量的富文本编辑器，该控件提供了一些文件上传接口，同时dedecms对上传文件的后缀类型未进行严格的限制，这导致了黑客可以上传WEBSHELL，获取网站后台权限。

　　修改这个漏洞也是很简单，主要是文件/dede/media_add.php或者/你的后台名字/media_add.php的修改。

　　解决方法：

　　1、打开dede/media_add.php文件，找到第69行或者搜索代码：

　　$fullfilename=$cfg_basedir.$filename;

　　修改为：

　　if (preg_match(‘#.(php|pl|cgi|asp|aspx|jsp|php5|php4|php3|shtm|shtml)[^a-zA-Z0-9]+$#i’, trim($filename))) { ShowMsg(“你指定的文件名被系统禁止！”,’javascript:;’); exit(); } $fullfilename=$cfg_basedir.$filename;

　　修改文件前请做好文件备份，将新的media_add.php文件上传替换阿里云服务器上即可解决此问题。