尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们,平台 V8.1版本已正式发布。正值8月的最后一周,我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。
O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对系统安全进行加固,包括管理员初始化密码的配置,基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,在系统安全加固、代码安全优化、加解密平台,平台安全上进行优化改进,使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。
O2OA(翱途)开发平台 V8.1正式发布。
功能新增
重要更新:[平台架构]新增第一次启动服务器需要初始化设置的功能
O2OA V8.1 在服务器第一次启动时,新增服务器初始化配置功能
1.设置管理员密码
首次启动服务器,您必须为超级管理员(xadmin)设置一个密码。密码长度必须6位以上,同时包含数字和字母。为了让系统更加安全,O2OA从此版本开始,将不再存在默认密码,请牢记自己设置的密码!(xadmin密码也作为内置数据库H2的sa用户密码)
2.设置数据库
平台内置H2数据库,它是一个内嵌式的内存数据库,适合用于开发环境、功能演示环境,并不适合用作正式环境。如果作为正式环境使用,建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库,或外部数据库。
3.初始化数据
您可以将从其它服务器导出的数据包,在此页面中导入,以便于快速恢复或搭建应用。在您已有服务器进行导出操作(ctl -dd 命令,或在“系统配置”的“数据库配置”中操作),会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹,将其打包为zip文件后,可在服务器初始化时导入所有数据
4.确认初始化信息
如果已经准备好了服务器初始化配置,确认初始化信息。点击“执行”按钮,执行服务器初始化,完成后服务器会自动启动。点击“取消”按钮,取消服务器初始化,并关闭初始化服务器,您可以再次手工启动服务器,以完成初始化配置。
服务器初始化完成,提示进入系统登录页面
服务器数据初始化能力给了我们一个更加灵活的系统部署方案,我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力,详细的内容会在产品发布的视频介绍里详细说明,请留公众号信息。
系统安全加固
我们基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,系统安全加固包括如下几项:
以下信息,通过管理员进入平台的系统配置->服务器配置->服务器任务进行配置。
[系统安全加固] 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息
在 HTTP 响应消息的头部中,其中通常会包含网站的框架信息,来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息,还有可能暴露框架版本,攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。
1.增加Content-Security-Policy
Content-Security-Policy(内容安全策略)是一种网页安全策略,可以限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。它本质上是一个白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。
2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性,这些功能与特性通常可以通过 HTTP 响应头来控制,使用这些功能,可以避免受到浏览器端的用户受到类似 CSRF、XSS、Click Hijacking 等前端黑客攻击的影响。
3.增加X-Content-Type-Options 头信息
攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息,此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探,而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。
4.跨域来源许可,如果被攻击者利用,可能造成信息泄漏
[代码安全性优化] 代码中randow类都改为SecureRandom类
[加解密平台] 增加基于AES加解密方式,同时平台本身支持国密SM4
基于AES加解密的方式具有较高的安全性,因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式,在O2server/config/person.json文件里面得到配置:
【平台安全] 增加是否输出RestfulAPI文档页面,如果选择“是”,提供RestfulAPI接口访问,“否”为关闭。
[平台安全] 增加平台调用外部http接口调用地址增加白名单安全校验
增加白名单安全校验可以将信任的接口服务地址等添加到白名单中,以防止未知文件或代码执行。
[平台安全] 增加请求Referer校验,请求Referer校验是指,当请求一个链接时,服务器需要验证请求来源的过程,可以配置校验规则,通过配置正则表达式实现。
[平台安全]系统启用安全注销、登录有效时长、启用超级管理员口令配置功能,在系统配置->安全配置->登陆配置中进行配置。
1.启用后,点击“安全注销”,在任意终端执行安全注销将会同时注销所有终端登录状态。
2.登录有效时长功能,如果长时间不和服务器发生交互,系统会根据登录的有效时长注销此次登录,目前平台中设置的有效时长按分钟设置,默认15天。
3.超级管理员口令,一旦开启此功能,那么超级管理员的口令可以登录其他用户账户,管理员就能够用普通用户的身份进行维护和故障排除。
[平台安全] 启用CookieHttpOnly
启用CookieHttpOnly是一种安全措施,用于防止跨站脚本攻击(XSS)。当启用CookieHttpOnly时,只有通过HTTP协议传输的Cookie才会被浏览器接受和执行,而通过其他协议(如HTTPS)传输的Cookie则会被忽略。如果被攻击者利用,可能会被泄漏服务器敏感信息,我们在服务器平台配置项目中增加此项配置。
系统配置->登陆配置->更多配置
[平台安全] 平台使用的cookie增加配置是否启用secure
secure选项告诉浏览器该cookie应该仅通过HTTPS安全协议传输。当浏览器接收到没有使用HTTPS的请求时,它不会发送带有secure属性的cookie。
以上是关于即将发布的O2OA(翱途) V8.1的系统安全加固修复内容的罗列,更多的内容,请关注官网http://www.o2oa.net
此外,O2OA开发平台v8.1版本新增了一些重要的能力、重构了设计不够优秀的应用,也修复了之前遇到的各种问题。我们后续将会用文档或者视频的方式详细来介绍新增的功能和优化的亮点,欢迎大家一起来使用和体验,也希望大家在我们的藕粉社区多提宝贵建议。
我们坚持为大家提供更好的产品,为用户提供更优秀的开发、使用体验,让我们一起努力吧!