Matomo 4.12 发布，网站访问统计系统

Matomo 是一套基于 PHP + MySQL 技术构建的开源网站访问统计系统，能够提供详细的统计信息，比如网页浏览人数、访问最多的页面、搜索引擎关键词等等流量分析功能。

Matomo 4.12 正式发布，这是一个维护版本，改善了 Matomo 的可靠性和稳定性，同时也包括一些重要的功能和改进。Matomo 4.12 具体更新内容如下：

安全版本

这是一个主要的安全版本。在这个版本中包含了几个中等和低影响的安全修复。中度影响的修复包括防止在使用 Widgetize 插件时出现 XSS 漏洞 —— 有可能通过 angular 模板注入 javascript 代码，还有一个问题是匿名用户可以导出 CSV 报告，当导入 Microsoft Excel 或类似的应用程序时，可以在报告中注入命令。

低影响的安全改进包括使用token_auth检查当前会话的 API 请求的双因素认证（2FA）状态，以及在 Overlay 模块中的额外转义以防止可能的 XSS 攻击。

平台变化

突破性的变化
- 当通过 UsersManager.deleteUser API 使用会话认证删除一个用户时，一个新的参数 passwordConfirmation 需要和请求一起发送，包含发出 API 请求的用户的当前密码。
- 当通过 UsersManager.addUser API 使用会话认证添加一个用户时，一个新的参数 passwordConfirmation 需要与包含发出 API 请求的用户的当前密码的请求一起发送。
- 当通过 UsersManager.invertUser API 使用会话认证邀请一个用户时，一个新的参数 passwordConfirmation 需要与包含发出 API 请求的用户的当前密码的请求一起发送。
新的 PHP 事件
- 增加了新事件 Login.userRequiresPasswordConfirmation，可用于登录插件，以规避用户界面中的密码确认和某些 API 方法
- 当通过 SitesManager.deleteSite API 使用会话认证删除一个站点时，一个新的参数 passwordConfirmation 需要和请求一起发送，包含发出 API 请求的用户的当前密码。
新的隐私退出选项
- 隐私管理器的 iframe 选择退出用户界面已被替换为生成使用 Matomo 跟踪器的 JavaScript 选择退出代码，现有的 iframe 退出仍然有效，但 iframe 退出代码将不再由用户界面生成，因为大多数主要浏览器正在停止支持 iframe 中的第三方 cookies。