Как правило, URL-адреса, такие как https://www.example.com/path/?type=694, могут считаться сохраненными, если запрошенное значение параметра для type не сконфигурировано с config.typeNum в TYPO3.
Для большинства параметров есть опция для настройкидопустимые значения в TYPO3, однако это явно не рекомендуется в отношении config.typeNum, ссылка для TypoScript состояний:
Не включайте параметр типа в список config.linkVars, так как это может привести кв неожиданном поведении.
Другие параметры (НЕ type!), используемые со случайными значениями
Итак, предполагается, что есть другой параметр, который запрашивается со значениямикоторые не настроены в установке TYPO3.Общий параметр - L, который используется для языка запрашиваемой страницы.Если есть страница с 3 языками, то основной язык имеет параметр L=0, второй язык - параметр L=1, а последний язык - параметр L=2.
. В этом случае можно настроить допустимые значения.в TypoScript с
config.linkVars = L(0-2)
Если разрешенные ссылочные переменные никогда не представляют линейный диапазон, его можно настроить следующим образом:
config.linkVars = L(0|5|23)
Возможен и более общий подход, поэтому значения могутбыть ограниченным, по крайней мере, представлением целочисленных значений:
config.linkVars = L(int)
Ссылки:
Дополнительные соображения
Возможно отфильтровать недопустимые вызовы страниц на более высоком уровне, вконфигурация сервера (т.е. в файле .htaccess).Подход этой конфигурации может быть включен в список
- недопустимые параметры (или значения), перенаправляющие пользователя на главную страницу или страницу ошибок TYPO3
- notразрешенные параметры (или значения) перенаправляют пользователя на страницу за пределами TYPO3, возможно, статическая страница без динамического содержимого
- недопустимые параметры (или значения) блокируют пользователя от любого доступа к серверу (обычно дляопределяемое время, т. е. 10 минут)
- запросы страниц с недопустимыми параметрами (или значениями) регистрируются или просто удаляются
Этот список, вероятно, не полный, но достаточноеще нужно подумать.
Существует несколько мнений об этих усилиях, одно мнение состоит в том, что система TYPO3 и администраторы должны быть проинформированы о любом доступе и, возможно, способны решить некоторые проблемы, когда пользователи видят ошибку, нодолжна видеть обычную страницу.
Может быть еще больше аргументов, почему TYPO3-администраторы должны быть проинформированы онекоторые непредусмотренные параметры или значения параметров, но есть несколько аргументов, которые следует учитывать:
- DDOS атакует серверы флудом до тех пор, пока сервер не сможет обслуживать любой запрос.
- В TYPO3 каждый запрос заполняет некоторое пространство в базе данных и на жестком диске.
- брандмауэры также фильтруют запросы, и никакой TYPO3-администратор не должен позволять, вероятно, выключать брандмауэр, TYPO3 без специальных действий не информируется о запросах блоков брандмауэра.
Таким образом, могут быть некоторые ложные параметры, отправленные с хорошей целью, но многие запросы могут иметь другую цель, и может быть целесообразно заблокировать или перенаправить некоторые типы запросов.Сервер должен быть защищен, а журнал ошибок TYPO3 должен быть настолько тонким, чтобы регистрируемые ошибки были широко связаны с проблемами TYPO3, которые могут нуждаться во вмешательстве администратора TYPO3.