欢迎使用普元产品知识库,本知识库包含普元应用开发平台EOSPlatform,流程平台BPS,企业服务总线ESB,微服务平台Microservice,运维管理平台Devops,数据集成平台DI
欢迎使用普元文档库
【安全开关介绍】
从EOS Platform7.2开始,对于SQL注入、XSS跨站脚本攻击、跨站请求伪造攻击方面的问题增加了拦截器,设置了安全过滤开关,若项目需要可开启配置开关,以default为例说明
【开启方式】
EOS Platform7.2/7.5开启方式
1、将apps_config\default\config\user-config.xml中颜色标记的false改为true,
<group name="Http-Security">
<configValue key="isOpenSecurity">false</configValue> //是否启用安全开关
<configValue key="isAllInHttps">false</configValue> //是否所有的请求都启用https协议
<!-- tomcat default config
<configValue key="host">localhost</configValue>
<configValue key="http-port">8080</configValue>
<configValue key="https-port">8443</configValue>
-->
......
</group>
提示:若是tomcat应用服务器,还要将蓝色注释部分打开,并根据注释部分的配置参数配置tomcat应用服务器的HTTPS协议,HTTPS协议配置可参考tomcat说明;
2、打开apps_config\default\config\eos\handler-web.xml中的如下配置
<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>
若需开启EOS Platform 7.5 governor及workspace安全开关,请参考:普元 EOS Platform 7.5 Governor及Workspace应用AppScan扫描出跨站点脚本编制安全漏洞
EOS Platform7.6开启方式:
1、将apps_config\default\config\user-config.xml中isOpenSecurity的配置由false改为true,同时在该配置后增加红色标注的内容,根据项目实际情况进行配置
<group name="Http-Security">
<configValue key="isOpenSecurity">false</configValue> //是否启用安全开关
<configValue key="isAllInHttps">false</configValue> //是否所有的请求都启用https协议
<!-- tomcat default config
<configValue key="host">localhost</configValue>
<configValue key="http-port">8080</configValue>
<configValue key="https-port">8443</configValue> --> //此处配置同platform7.2/7.5,若应用服务器是tomcat,需将注释打开,在tomcat上配置https协议
<configValue key="Exclude">**/common.download</configValue>
......
</group>
2、打开apps_config\default\config\eos\handler-web.xml中的如下配置
<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>
【特别说明】
WAS上除apps_config/default/config/user-config.xml外,还需要改default.war/WEB-INF/_srv/config/user-config.xml
概览
内容工具