代码审计

多说完美支持HTTPS(SSL)头像解决方案

多说其实是个还不错的社会化评论插件

支持多个网站的账号快捷登陆,虽然某些行为有些流氓,但仍旧算是十分流行的一个系统

可是多说在HTTPS下的兼容性十分糟糕,头像仍旧调用HTTP

导致浏览器报出不安全的警告,可以通过下面的办法解决这个问题

一、建立一个PHP文件:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<pre class="pure-highlightjs"><code class="null">'timeout' =&gt; 1.0
)
));
$data = file_get_contents($src, 0, $timeout);
if ($src != 'null') {
header('Content-Type:image/png');
if (substr($data, 0, 3) === "\xFF\xD8\xFF" || substr($data, 1, 3) === "\x50\x4E\x47") {
echo $data;
} else {
echo file_get_contents(dirname(__FILE__) . "/none.jpg", 0, $timeout);
}
} else {
echo file_get_contents(dirname(__FILE__) . "/none.jpg", 0, $timeout);
}
//原作者: https://geeku.net/1878.html
//老D稍加改造</code></pre>

例如我保存为:ds.php

传到images目录之后得到的地址是

https://laod.cn/images/ds.php?s=

以上代理结束。接下来来搞多说的设置

然后把多说的js文件搞到本地

http://static.duoshuo.com/embed.js

嗯,压缩过的很难阅读,在线格式化一下。

然后搜索

1
2
3
<pre class="pure-highlightjs"><code class="null">avatarUrl: function(e) {
return e.avatar_url || rt.data.default_avatar_url
}

替换(修改)为:

1
2
3
avatarUrl: function(e) {
return 'https://laod.cn/images/ds.php?s='+e.avatar_url || 'https://laod.cn/images/ds.php?s='+nt.data.default_avatar_url
}</code></pre>

保存

1
embed.js

把这个放到你的站点目录下

二、把默认头像也保存到网站目录:

默认头像

三、修改多说插件文件:

进入后台-插件-编辑,选择多说,再找到Wordpress.php,全部复制出来,寻找embed.js

分别修改:第596、598、619行

embed-js

 

都修改为上面的ds.php所在的地址(根据你上传的路径)

四、保存覆盖后,若有WP Super Cache,请删除缓存。

以前的评论带有微博表情的需要自己删除~~~

 

如果你有更好的办法请留言!

(1)
Loading收藏(0)

本文由 老D博客 作者:老D 发表,转载请注明来源!

关键词:,
SS推荐

热评文章

发表评论

*

评论: 10 条评论,访客:6 条,博主:4 条

  • 一曲长歌辞烟雨
    一曲长歌辞烟雨 发布于:  回复

    使用了之后,头像确实可以显示了,但是评论框不能显示了。。。 😕

    • 老D
      老D 发布于:  回复

      应该是你哪里没有弄好…
      我现在已经弃用多说了

  • 温控阀
    温控阀 发布于:  回复

    多说软件真心不错啊

    • 老D
      老D 发布于:  回复

      一般般,有很多问题很久了官方都不理

  • 低比热容
    低比热容 发布于:  回复

    typecho 的多说能否支持 SSL 呢?

    • 老D
      老D 发布于:  回复

      可以

      • 低比热容
        低比热容 发布于:  回复

        有没有什么地方下载呢?现在我已开启 ssl 多说就加载不出来。

  • 醬油Project
    醬油Project 发布于:  回复

    老D你的多说可能需要改下..因为有回复提醒点地址都是旧域名的,旧域名无法跳转

    • 老D
      老D 发布于:  回复

      啊?我记得好改了呀

  • 香港独立IP主机
    香港独立IP主机 发布于:  回复

    多说不支持HTTPS(SSL)头像,这个还真没有遇到过,可能是因为很多网站都没有用HTTPS的缘故吧