安徽省建设厅网站工程师查询,旅游型网站开发,wordpress文章添加回目录,小程序开发费用一览表fhq华网天下尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们#xff0c;平台 V8.1版本已正式发布。正值8月的最后一周#xff0c;我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。
O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新#xff0c;是对…尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们平台 V8.1版本已正式发布。正值8月的最后一周我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。
O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新是对系统安全进行加固包括管理员初始化密码的配置基于安全漏洞的扫描进行漏洞的修补脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强在系统安全加固、代码安全优化、加解密平台平台安全上进行优化改进使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。 O2OA(翱途)开发平台 V8.1正式发布。 功能新增
重要更新[平台架构]新增第一次启动服务器需要初始化设置的功能
O2OA V8.1 在服务器第一次启动时新增服务器初始化配置功能
1.设置管理员密码
首次启动服务器您必须为超级管理员xadmin设置一个密码。密码长度必须6位以上同时包含数字和字母。为了让系统更加安全O2OA从此版本开始将不再存在默认密码请牢记自己设置的密码!xadmin密码也作为内置数据库H2的sa用户密码 2.设置数据库
平台内置H2数据库它是一个内嵌式的内存数据库适合用于开发环境、功能演示环境并不适合用作正式环境。如果作为正式环境使用建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库或外部数据库。 3.初始化数据
您可以将从其它服务器导出的数据包在此页面中导入以便于快速恢复或搭建应用。在您已有服务器进行导出操作ctl -dd 命令或在“系统配置”的“数据库配置”中操作会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹将其打包为zip文件后可在服务器初始化时导入所有数据 4.确认初始化信息
如果已经准备好了服务器初始化配置确认初始化信息。点击“执行”按钮执行服务器初始化完成后服务器会自动启动。点击“取消”按钮取消服务器初始化并关闭初始化服务器您可以再次手工启动服务器以完成初始化配置。 服务器初始化完成提示进入系统登录页面 服务器数据初始化能力给了我们一个更加灵活的系统部署方案我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力详细的内容会在产品发布的视频介绍里详细说明请留公众号信息。 系统安全加固
我们基于安全漏洞的扫描进行漏洞的修补脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强系统安全加固包括如下几项
以下信息通过管理员进入平台的系统配置-服务器配置-服务器任务进行配置。
[系统安全加固] 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息
在 HTTP 响应消息的头部中其中通常会包含网站的框架信息来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息还有可能暴露框架版本攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。
1.增加Content-Security-Policy
Content-Security-Policy内容安全策略是一种网页安全策略可以限制哪些资源如JavaScript、CSS、图像等可以被加载从哪些url加载。它本质上是一个白名单机制开发者明确告诉浏览器哪些外部资源可以加载和执行可以从哪些url加载资源。 2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性这些功能与特性通常可以通过 HTTP 响应头来控制使用这些功能可以避免受到浏览器端的用户受到类似 CSRF、XSS、Click Hijacking 等前端黑客攻击的影响。
3.增加X-Content-Type-Options 头信息
攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型然后禁用MIME嗅探的行为。 4.跨域来源许可如果被攻击者利用可能造成信息泄漏 [代码安全性优化] 代码中randow类都改为SecureRandom类
[加解密平台] 增加基于AES加解密方式,同时平台本身支持国密SM4
基于AES加解密的方式具有较高的安全性因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式在O2server/config/person.json文件里面得到配置 【平台安全] 增加是否输出RestfulAPI文档页面如果选择“是”提供RestfulAPI接口访问“否”为关闭。 [平台安全] 增加平台调用外部http接口调用地址增加白名单安全校验
增加白名单安全校验可以将信任的接口服务地址等添加到白名单中以防止未知文件或代码执行。 [平台安全] 增加请求Referer校验请求Referer校验是指当请求一个链接时服务器需要验证请求来源的过程可以配置校验规则通过配置正则表达式实现。 [平台安全]系统启用安全注销、登录有效时长、启用超级管理员口令配置功能在系统配置-安全配置-登陆配置中进行配置。
1.启用后点击“安全注销”在任意终端执行安全注销将会同时注销所有终端登录状态。 2.登录有效时长功能如果长时间不和服务器发生交互系统会根据登录的有效时长注销此次登录目前平台中设置的有效时长按分钟设置默认15天。 3.超级管理员口令一旦开启此功能那么超级管理员的口令可以登录其他用户账户管理员就能够用普通用户的身份进行维护和故障排除。 [平台安全] 启用CookieHttpOnly
启用CookieHttpOnly是一种安全措施用于防止跨站脚本攻击XSS。当启用CookieHttpOnly时只有通过HTTP协议传输的Cookie才会被浏览器接受和执行而通过其他协议如HTTPS传输的Cookie则会被忽略。如果被攻击者利用可能会被泄漏服务器敏感信息我们在服务器平台配置项目中增加此项配置。
系统配置-登陆配置-更多配置 [平台安全] 平台使用的cookie增加配置是否启用secure
secure选项告诉浏览器该cookie应该仅通过HTTPS安全协议传输。当浏览器接收到没有使用HTTPS的请求时它不会发送带有secure属性的cookie。 以上是关于即将发布的O2OA(翱途) V8.1的系统安全加固修复内容的罗列更多的内容请关注官网http://www.o2oa.net
此外O2OA开发平台v8.1版本新增了一些重要的能力、重构了设计不够优秀的应用也修复了之前遇到的各种问题。我们后续将会用文档或者视频的方式详细来介绍新增的功能和优化的亮点欢迎大家一起来使用和体验也希望大家在我们的藕粉社区多提宝贵建议。
我们坚持为大家提供更好的产品为用户提供更优秀的开发、使用体验让我们一起努力吧
