另外,既然我已经开始了这条路,现在当我尝试编辑某些网站文本时,我会收到这个:
我能够复现这个问题。问题出在这个 URL:
/admin/customize/site_texts?q=confirm%20old
我不记得这个链接在没有区域参数的情况下起作用过 
对我来说,/admin/customize/site_texts?q=confirm%20old&locale=en 可以正常工作。
而且我认为无法自定义“确认旧电子邮件”文本是故意的。这封邮件只发送给员工。
2 个赞
这是否也是一个#ux bug?在搜索网站文本并进行编辑时,不应该出现“访问被拒绝”的神秘页面。
2 个赞
有人提醒我,自 Codinghorror 的帖子以来,已添加了“需要更改电子邮件确认”设置。这意味着该消息现在可以发送给员工以外的人员。
当时阻止编辑此模板的原始原因有效,但如今它提供的保护已有所不同。知道管理员密码的攻击者可以简单地:
- 使用密码为该帐户设置双因素身份验证。
- 创建一个新帐户。
- 使用 2FA 代码授予新帐户管理员权限。
从那里,他们可以将备份发送到自己的电子邮件地址,而无需管理员单击链接确认地址更改。
那么问题是:阻止编辑此模板是否仍然有意义?它现在已发送给普通用户,并且不再保护备份的下载。
此外,Data Explorer 现在始终安装并可用于访问数据库。