在此向漏洞提供者 夕风号 表示感谢，也希望更多的安全人员加入到维护Discuz! X程序安全的工作中来。

此Bug来源于WooYun平台，地址为：http://www.wooyun.org/bugs/wooyun-2014-079988
镜像地址为：https://wooyun.x10sec.org/static/bugs/wooyun-2014-079988.html https://web.archive.org/web/20160315103637/http://www.wooyun.org/bugs/wooyun-2014-079988

首先向James Kettle致敬
以某网站为例，
1.易得其ip为 x.x.x.x
2.向hosts添加条目
3.访问hosts添加的条目
找回密码，输入攻击目标的email，提交
4.受害人收到email

当然可以伪造得更隐秘，对于部分邮箱系统还可配合XSS，总之，一旦受害人访问该URL，uid与id值全部被截获
个人的想法：在首次系统安装时，取得HOST值并保存设为常量

本PR根据漏洞提供者建议，添加了 ['setting']['securesiteurl'] 的变量，程序发送邮件时会采用此变量进行发送，规避了相关安全隐患。

本PR已在公开前联系 @oldhuhu 并进行了预测试，感谢官方为本修复方案提供的建议以及详尽的测试工作。