XFRM ve Dosya Türü Sınırlaması
XenForo Resource Manager (XFRM), forum üyelerinin yüklediği eklenti, döküman ve şablonları yönetmek için tasarlanmış güçlü bir bileşendir. Ana XenForo attachment yapılandırmasından bağımsız çalışır — yani ana foruma izin verdiğiniz dosya türleri otomatik olarak XFRM'e aktarılmaz. Microsoft Excel .xlsx dosyaları ana XenForo allowed listesinde bile olsa, XFRM ayrıca yapılandırılmalıdır.Bu rehber XFRM ayarlarında Excel uzantısının nasıl ekleneceğini ve hangi güvenlik önlemlerinin alınması gerektiğini detaylı şekilde anlatır.
Adım 1 — XFRM Options'a Erişim
XenForo Admin paneline giriş yapın. Setup > Options menüsünden Resource Manager kategorisini seçin (XFRM kurulu olmalı; değilse önce eklentiyi kurmanız gerekir).Adım 2 — Allowed Extensions Bölümü
"Allowed resource attachment extensions" alanını bulun. Varsayılan değerler genellikle şunlardır:
Code:
jpg, jpeg, png, gif, pdf, zip, rar, txtBu alana xlsx ve isteğe bağlı olarak xls, xlsm (makro etkin), ods (LibreOffice format) ekleyin:
Code:
jpg, jpeg, png, gif, pdf, zip, rar, txt, xlsx, xlsTopluluğunuz makro içerebilen .xlsm dosyaları paylaşıyorsa onu da ekleyin ancak güvenlik uyarısı: makro içeren dosyalar zararlı kod taşıyabilir. Genel topluluklarda yalnızca .xlsx önerilir.
Adım 3 — Maksimum Boyutu Ayarlayın
"Maximum attachment size for resources" değerini iş ihtiyacınıza göre belirleyin. Excel template'leri veya hesap tabloları genellikle 1-10 MB arasıdır; karmaşık dashboard'lar veya gömülü resim içeren raporlar 50 MB'a kadar çıkabilir. PHP'nin upload_max_filesize ve post_max_size direktifleri her zaman bu değerin üstünde olmalıdır.Adım 4 — Resource Manager Kategorisinde Özel Yapılandırma
İsteğe bağlı: yalnızca belirli kategorilerde Excel uploadına izin vermek için Resources > Categories altında ilgili kategoriye gidin ve "Override default allowed extensions" seçeneğini etkinleştirin. Örnek senaryo: "Hesap Tabloları" kategorisinde xlsx izin verilsin, "Tema" kategorisinde verilmesin.Adım 5 — Test Yükleme
Bir resource yöneticisi hesabıyla "Add resource" sayfasına gidin ve .xlsx uzantılı bir dosya yüklemeyi deneyin. Başarılı yükleme dosya boyutunu ve içeriğin saklandığı internal_data/attachments dizinindeki yolu gösteren bir onay mesajı verir.Doğrulama ve İzleme
Sunucu loglarınızı kontrol ederek olası MIME uyumsuzluklarını veya boyut sınırı aşımlarını izleyin. internal_data/code_cache/ altında attachment metadata'sı tutulur; sorun durumunda Tools > Rebuild caches > Rebuild attachments çalıştırın.Güvenlik Açısından Notlar
.xlsx dosyaları ZIP konteyner formatıdır; içlerinde XML çalışma sayfaları yer alır. XSS riski yoktur ancak büyük dosyalar üyeleriniz tarafından zip bomb tipinde kötüye kullanılabilir. Sunucu açma limitlerini (extract_max_files gibi) küçük tutun.Resource yorumlarında ve açıklamalarda XSS koruması XenForo tarafından otomatik yapılır. Yine de moderasyon ekibinizin yeni yüklemeleri kontrol etmesi en doğru yaklaşımdır.
AIOR olarak XenForo + XFRM bileşik kurulum ve özel kategori politikaları için danışmanlık hizmeti sunuyoruz; barındırma paketlerimizde XFRM hazır kurulu gelir.
XFRM and File Type Restrictions
XenForo Resource Manager (XFRM) is the powerful component that handles add-ons, documents and templates uploaded by your community. It operates independently of XenForo's main attachment system — meaning the file types you allow on the main forum don't automatically carry over to XFRM. Even if Microsoft Excel .xlsx is in the main allowed list, XFRM needs to be configured separately.This guide walks through enabling Excel uploads in XFRM and the security measures to put in place.
Step 1 — Access XFRM Options
Sign in to the XenForo admin panel. From Setup > Options choose the Resource Manager category (XFRM must be installed; if not, install the add-on first).Step 2 — Allowed Extensions
Find the "Allowed resource attachment extensions" field. Defaults are typically:
Code:
jpg, jpeg, png, gif, pdf, zip, rar, txtAdd xlsx and optionally xls, xlsm (macro-enabled), ods (LibreOffice format):
Code:
jpg, jpeg, png, gif, pdf, zip, rar, txt, xlsx, xlsIf your community shares .xlsm macro-enabled files, add it too — but security warning: macro-enabled files can carry malicious code. For public communities, stick to .xlsx only.
Step 3 — Set the Maximum Size
Tune "Maximum attachment size for resources" to your needs. Excel templates or spreadsheets are usually 1-10 MB; complex dashboards with embedded images may reach 50 MB. PHP's upload_max_filesize and post_max_size directives must always exceed this value.Step 4 — Per-Category Overrides
Optional: to allow Excel uploads only in specific categories, go to Resources > Categories and enable "Override default allowed extensions" on the relevant category. Example: allow xlsx in the "Spreadsheets" category but not in "Themes".Step 5 — Test Upload
Using a resource-manager account, head to the "Add resource" page and try uploading a .xlsx file. A successful upload reports the file size and the path under internal_data/attachments where content is stored.Verification and Monitoring
Watch your server logs for MIME mismatches or size-limit overruns. Attachment metadata is cached under internal_data/code_cache/; if you see issues, run Tools > Rebuild caches > Rebuild attachments.Security Notes
.xlsx files are a ZIP container with internal XML workbooks. There's no XSS risk, but large files can be abused as zip bombs. Keep your unzip limits (extract_max_files etc.) tight.XenForo already protects against XSS in resource descriptions and comments automatically. Even so, having your moderation team review new uploads is the safest approach.
At AIOR we offer XenForo + XFRM combined-installation and per-category policy consulting; our hosting packages come with XFRM pre-installed and ready to use.
