網(wǎng)站明明升級到最新版本，可是還是被百度標上了風險提示，用安全工具檢測，原來還有DedeCMS 5.7SP1 /plus/download.php url重定向漏洞（如下圖）

 

 

 

修復方案：對link參數(shù)做判斷，對不是同域名的跳轉(zhuǎn)給予提示

我們這里給出具體的修改方案：

修改download.php（在網(wǎng)站根目錄plus文件夾下）

把header("location:$link");

替換為

 

if(stristr($link,$cfg_basehost)) { header("location:$link"); } else{ header("location:$cfg_basehost"); }

這樣即可將非本站域名跳轉(zhuǎn)到網(wǎng)站首頁，以免出現(xiàn)釣魚欺詐行為。而scanv也不會再提示低危風險漏洞了。