最近有使用Open Journal System（简称OJS系统）的出版社客户咨询，他们的期刊管理系统，被网安监管机构下发了《XX存在安全隐患的函》，内容是说存在任意文件上传漏洞（如下方图示），被要求整改，所以特地咨询丁老师，这种情况需要怎么处理呢？

图1 安全隐患情况

图2漏洞详细情况

经过丁老师分析，因为OJS没有对文件上传类型进行限制，导致用户可以上传任意类型的文件到服务器，确实存在任意文件上传的漏洞，有较大的安全隐患。
那么怎么解决这个问题呢？其实这个问题很简单，只需要对OJS系统上传文件类型进行限制就可以了。

限制OJS上传文件类型
在OJS系统中，限制文件上传类型很简单，不需要改代码，不需要对系统进行二次开发，只需要安装一个插件就行，插件的名字是Allowed Uploads Plugin，以下是使用方法：
1.用管理员账号登录后台（Dashboard），选择左侧菜单Website，进入设置页面。
2.进入Website Settings页面，选择顶部的Plugins，然后选择Plugins Galleys，在下方的列表中，选择Allow Uploads Plugin插件。如图：

3.点击该插件，在弹出的窗口中，选择Install。

4.等待安装完毕后，在Installed Plugins中找到这个插件，并启用。

5.点击插件左侧的箭头，展开插件选项，点击Settings。

6.弹出的窗口中，就可以设置允许上传的文件类型了，在输入框中，输入文件类型的扩展名即可。如果是允许多种文件类型，则是以英文分号;间隔，比如我只允许上传doc、docx、pdf文件，则输入"doc;docx;pdf"即可。

7.设置完成后点击OK按钮，即对设置进行保存。此时，该期刊的所有相关上传项，都会被限制只能允许doc、docx、pdf三种文件上传，如果使用其他的文件类型上传，则会提示禁止上传。

以上，就是ojs系统中，限制文件上传类型的方法，是不是很简单？你学会了吗？如果你在使用Open Journal System的过程中，遇到了使用上的问题或者故障，欢迎联系丁老师进行咨询和交流。

学术期刊网站建设：一站式出版社官网与投稿系统开发