欢迎使用普元产品知识库,本知识库包含普元应用开发平台EOSPlatform,流程平台BPS,企业服务总线ESB,微服务平台Microservice,运维管理平台Devops,数据集成平台DI
欢迎使用普元文档库
【解答】
EOS Platform 7.5是安全版本,设置了安全拦截器,对于SQL注入、XSS跨站脚本攻击、跨站请求伪造攻击方面的问题进行拦截;
请确保已开启Governor、Workspace的安全开关,然后再进行安全扫描;
Governor安全开关开启方式:
1、确保apps_config\governor\config\user-config.xml红色部分配置为true,且应用服务器启用HTTPS
<group name="Http-Security">
<configValue key="isOpenSecurity">true</configValue>
<configValue key="regexs">eval\s*?\([^\)]+?\),alert\s*?\([^\)]+?\),new\s+?Function\s*?\([^\)]+?\),window\[[^\]]+?\]\s*?=</configValue>
</group>
2、确保apps_config\governor\config\eos\handler-web.xml中<handler id="HttpRefererWebInterceptor" sortIdx="3" pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>处于正常开放状态,不要注释掉
Workspace安全开关开启方式:
1、确保apps_config\workspace\config\user-config.xml红色部分配置为true,且应用服务器启用HTTPS
<group name="Http-Security">
<configValue key="isOpenSecurity">true</configValue>
<configValue key="Exclude">**/common.download</configValue>
<configValue key="regexs">eval\s*?\([^\)]+?\),alert\s*?\([^\)]+?\),new\s+?Function\s*?\([^\)]+?\),window\[[^\]]+?\]\s*?=</configValue>
</group>
2、确保apps_config\workspace\config\eos\handler-web.xml中<handler id="HttpRefererWebInterceptor" sortIdx="3" pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>处于正常开放状态,不要注释掉
若要开启EOS Platform 7.5 default 安全开关,请参考:EOS Platform7.2/7.5/7.6解决default应用SQL注入、XSS跨站脚本攻击、跨站请求伪造攻击问题的安全开关开启方式
概览
内容工具