O2OA(翱途)开发平台 V8.1正式发布

尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们,平台 V8.1版本已正式发布。正值8月的最后一周,我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。

O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对系统安全进行加固,包括管理员初始化密码的配置,基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,在系统安全加固、代码安全优化、加解密平台,平台安全上进行优化改进,使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。

O2OA(翱途)开发平台 V8.1正式发布。

功能新增

重要更新:[平台架构]新增第一次启动服务器需要初始化设置的功能

O2OA V8.1 在服务器第一次启动时,新增服务器初始化配置功能

1.设置管理员密码

首次启动服务器,您必须为超级管理员(xadmin)设置一个密码。密码长度必须6位以上,同时包含数字和字母。为了让系统更加安全,O2OA从此版本开始,将不再存在默认密码,请牢记自己设置的密码!(xadmin密码也作为内置数据库H2的sa用户密码)

2.设置数据库

平台内置H2数据库,它是一个内嵌式的内存数据库,适合用于开发环境、功能演示环境,并不适合用作正式环境。如果作为正式环境使用,建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库,或外部数据库。

3.初始化数据

您可以将从其它服务器导出的数据包,在此页面中导入,以便于快速恢复或搭建应用。在您已有服务器进行导出操作(ctl -dd 命令,或在“系统配置”的“数据库配置”中操作),会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹,将其打包为zip文件后,可在服务器初始化时导入所有数据

4.确认初始化信息

如果已经准备好了服务器初始化配置,确认初始化信息。点击“执行”按钮,执行服务器初始化,完成后服务器会自动启动。点击“取消”按钮,取消服务器初始化,并关闭初始化服务器,您可以再次手工启动服务器,以完成初始化配置。

服务器初始化完成,提示进入系统登录页面

服务器数据初始化能力给了我们一个更加灵活的系统部署方案,我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力,详细的内容会在产品发布的视频介绍里详细说明,请留公众号信息。

系统安全加固

我们基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,系统安全加固包括如下几项:

以下信息,通过管理员进入平台的系统配置->服务器配置->服务器任务进行配置。

[系统安全加固] 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息

在 HTTP 响应消息的头部中,其中通常会包含网站的框架信息,来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息,还有可能暴露框架版本,攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。

1.增加Content-Security-Policy

Content-Security-Policy(内容安全策略)是一种网页安全策略,可以限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。它本质上是一个白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。

2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性,这些功能与特性通常可以通过 HTTP 响应头来控制,使用这些功能,可以避免受到浏览器端的用户受到类似 CSRF、XSS、Click Hijacking 等前端黑客攻击的影响。

3.增加X-Content-Type-Options 头信息

攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息,此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探,而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。

4.跨域来源许可,如果被攻击者利用,可能造成信息泄漏

[代码安全性优化] 代码中randow类都改为SecureRandom类

[加解密平台] 增加基于AES加解密方式,同时平台本身支持国密SM4

基于AES加解密的方式具有较高的安全性,因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式,在O2server/config/person.json文件里面得到配置:

平台安全] 增加是否输出RestfulAPI文档页面,如果选择“是”,提供RestfulAPI接口访问,“否”为关闭。

[平台安全] 增加平台调用外部http接口调用地址增加白名单安全校验

增加白名单安全校验可以将信任的接口服务地址等添加到白名单中,以防止未知文件或代码执行。

[平台安全] 增加请求Referer校验,请求Referer校验是指,当请求一个链接时,服务器需要验证请求来源的过程,可以配置校验规则,通过配置正则表达式实现。

[平台安全]系统启用安全注销、登录有效时长、启用超级管理员口令配置功能,在系统配置->安全配置->登陆配置中进行配置。

1.启用后,点击“安全注销”,在任意终端执行安全注销将会同时注销所有终端登录状态。

2.登录有效时长功能,如果长时间不和服务器发生交互,系统会根据登录的有效时长注销此次登录,目前平台中设置的有效时长按分钟设置,默认15天。

3.超级管理员口令,一旦开启此功能,那么超级管理员的口令可以登录其他用户账户,管理员就能够用普通用户的身份进行维护和故障排除。

[平台安全] 启用CookieHttpOnly

启用CookieHttpOnly是一种安全措施,用于防止跨站脚本攻击(XSS)。当启用CookieHttpOnly时,只有通过HTTP协议传输的Cookie才会被浏览器接受和执行,而通过其他协议(如HTTPS)传输的Cookie则会被忽略。如果被攻击者利用,可能会被泄漏服务器敏感信息,我们在服务器平台配置项目中增加此项配置。

系统配置->登陆配置->更多配置

[平台安全] 平台使用的cookie增加配置是否启用secure

secure选项告诉浏览器该cookie应该仅通过HTTPS安全协议传输。当浏览器接收到没有使用HTTPS的请求时,它不会发送带有secure属性的cookie。

以上是关于即将发布的O2OA(翱途) V8.1的系统安全加固修复内容的罗列,更多的内容,请关注官网http://www.o2oa.net

此外,O2OA开发平台v8.1版本新增了一些重要的能力、重构了设计不够优秀的应用,也修复了之前遇到的各种问题。我们后续将会用文档或者视频的方式详细来介绍新增的功能和优化的亮点,欢迎大家一起来使用和体验,也希望大家在我们的藕粉社区多提宝贵建议。

我们坚持为大家提供更好的产品,为用户提供更优秀的开发、使用体验,让我们一起努力吧!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/63401.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ELK安装、部署、调试(四)KAFKA消息队列的安装和部署

1.简介 Kafka是一种高吞吐量的分布式发布订阅消息系统,它可以处理消费者在网站中的所有动作流数据。 这种动作(网页浏览,搜索和其他用户的行动)是在现代网络上的许多社会功能的一个关键因素。 这些数据通常是由于吞吐量的要求而通…

Nginx 部署 配置

一.概述 什么是nginx? Nginx (engine x) 是一款轻量级的Web 服务器 、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。 什么是反向代理? 反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求…

【代码随想录day23】不同路径

题目 一个机器人位于一个 m x n 网格的左上角 (起始点在下图中标记为 “Start” )。 机器人每次只能向下或者向右移动一步。机器人试图达到网格的右下角(在下图中标记为 “Finish” )。 问总共有多少条不同的路径? 示…

Mysql高级语句

高级语句 1.按关键字排序 SELECT column1, column2, ... FROM table_name ORDER BY column1, column2, ... ASC|DESC ASC 是按照升序进行排序的,是默认的排序方式,即 ASC 可以省略。 SELECT 语句中如果没有指定具体的排序方式,则默认按 ASC…

AP51656 PWM和线性调光 LED车灯电源驱动IC 兼容替代PT4115 PT4205

产品描述 AP51656是一款连续电感电流导通模式的降压恒流源 用于驱动一颗或多颗串联LED 输入电压范围从 5V 到 60V,输出电流 可达 1.5A 。根据不同的输入电压和 外部器件, 可以驱动高达数十瓦的 LED。 内置功率开关,采用高端电流采样设置 …

Ubuntu入门05——磁盘管理与备份压缩

1.检查磁盘空间占用情况 2.统计目录或文件所占磁盘空间大小 3.压缩 3.1 zip、unzip和zipinfo 运行时发现上面命令不成功,换成: (将文件lkw放入压缩文件lkw01.zip中) sudo zip -m lkw01.zip lkw 解压文件: 实操&…

css学习7(盒子模型)

1、盒子模型图&#xff1a; Margin(外边距) - 清除边框外的区域&#xff0c;外边距是透明的。Border(边框) - 围绕在内边距和内容外的边框。Padding(内边距) - 清除内容周围的区域&#xff0c;内边距是透明的。Content(内容) - 盒子的内容&#xff0c;显示文本和图像。 <!DO…

Vue框架--Vue中的数据代理

下面,我们一起来说以下Vue中的数据代理。 1.Object.defineProperty()方法回顾 * Object.defineProperty()方法基本配置项 * value:指定设置对象内容的属性值 * enumerable:true, //控制属性是否可以枚举(也就是是否可以被遍历),默认值是false * writable:true, //控制属性是…

three.js(四):react + three.js

绘制多个立方体 1.搭建reactts 项目 npx create-react-app basics-demo --template typescriptreactts 的用法可参考此链接&#xff1a; https://react-typescript-cheatsheet.netlify.app/docs/basic/setup 2.安装three依赖 npm install three types/three --save3.安装路…

Anaconda Prompt输入jupyter lab无反应

问题&#xff1a;Anaconda Prompt界面输入指令无反应 原因&#xff1a;公司电脑勒索病毒防御工具阻止了进程 解决&#xff1a;找到黑名单恢复进程

Android 1.2 开发环境搭建

目录 1.2 开发环境搭建 1.JDK安装与配置 2.开发工具二选一 3.相关术语的解析 4.ADB命令行的一些指令 5.APP程序打包与安装的流程&#xff1a; 6.APP的安装过程&#xff1a; 7.本节小结 1.2 开发环境搭建 现在主流的Android开发环境有: ①Eclipse ADT SDK ②Android Stu…

Kafka3.0.0版本——手动调整分区副本示例

目录 一、服务器信息二、启动zookeeper和kafka集群2.1、先启动zookeeper集群2.2、再启动kafka集群 三、手动调整分区副本3.1、手动调整分区副本的前提条件3.2、手动调整分区副本的示例需求3.3、手动调整分区副本的示例 一、服务器信息 四台服务器 原始服务器名称原始服务器ip节…

【算法与数据结构】617、LeetCode合并二叉树

文章目录 一、题目二、解法三、完整代码 所有的LeetCode题解索引&#xff0c;可以看这篇文章——【算法和数据结构】LeetCode题解。 一、题目 二、解法 思路分析&#xff1a;采用递归的方式遍历二叉树&#xff0c;【算法与数据结构】144、94、145LeetCode二叉树的前中后遍历&am…

Debian12搭建Nextcloud最新版并frp到二级域名

起因&#xff1a;因为台风的原因&#xff0c;要居家办公&#xff0c;但正值公司业务最要紧的时刻&#xff0c;所以需要搭建远程共享&#xff0c;结果发现基于原有的经验&#xff0c;已经难以适应版本更新带来的问题&#xff0c;所以就解决方法&#xff0c;进行了一次重新总结&a…

Ubuntu 20.04 Server配置网络

0&#xff0c;环境 服务器&#xff1a; Intel(R) Xeon(R) Gold 6248R CPU 3.00GHz 96核 网卡&#xff1a; 多网卡 1&#xff0c; 镜像下载 http://old-releases.ubuntu.com/releases/ubuntu-20.04.1-desktop-amd64.iso 2&#xff0c; 系统安装--具体步骤就不贴出来&#…

CentOs下面安装jenkins记录

目录 一、安装jenkins 二、进入jenkins 三、安装和Gitee&#xff0c;Maven , Publish Over SSH等插件 四、构建一个maven项目 一、安装jenkins 1 wget -O /etc/yum.repos.d/jenkins.repo \ https://pkg.jenkins.io/redhat-stable/jenkins.repo 2 rpm --im…

美创科技获通信网络安全服务能力评定(应急响应一级)认证!

近日&#xff0c;中国通信企业协会公布通信网络安全服务能力评定2023年第一批获证企业名单。 美创科技获得应急响应一级资质&#xff0c;成为2023年第一批获证企业之一&#xff01; 通信网络安全服务能力评定是对通信网络安全服务单位从事通信网络安全服务综合能力的评定&#…

tp5使用redis及redis7.2安装到window系统上面

redis安装教程 redis7.2安装到window系统上面 https://download.csdn.net/download/qq_39161501/88269037 解决方案&#xff1a;修改配置php.ini文件 打开Apache目录下的php.ini文件&#xff0c;搜索extension&#xff0c;在空白处加上下列代码&#xff1a; 注&#xff1a;e…

Linux进程概念及其状态

文章目录 &#x1f347;1. 什么是进程&#x1f348;1.1 概念&#x1f348;1.2 理解进程 &#x1f34b;2. Linux的PCB&#x1f34e;3. 查看进程 & 杀死进程&#x1f352;4. 系统调用获取进程标识符&#x1f353;4.1 进程PID&#x1f353;4.2 父进程PPID &#x1f346;5. 系统…

MVVM架构模式

目录 一、MVVM简介二、MVVM结构三、MVC四、MVP五、MVVM的优势与存在的问题 一、MVVM简介 MVVM是Model-View-ViewModel的简写。即是模型-视图-视图模型。 MVVM架构模式是一种软件设计模式&#xff0c;它将应用程序分为三个部分&#xff1a;模型&#xff08;Model&#xff09;、…