O2OA(翱途)开发平台 V8.1正式发布
尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们,平台 V8.1版本已正式发布。正值8月的最后一周,我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。
O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对系统安全进行加固,包括管理员初始化密码的配置,基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,在系统安全加固、代码安全优化、加解密平台,平台安全上进行优化改进,使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。
O2OA(翱途)开发平台 V8.1正式发布。
功能新增
重要更新:[平台架构]新增第一次启动服务器需要初始化设置的功能
O2OA V8.1 在服务器第一次启动时,新增服务器初始化配置功能
1.设置管理员密码
首次启动服务器,您必须为超级管理员(xadmin)设置一个密码。密码长度必须6位以上,同时包含数字和字母。为了让系统更加安全,O2OA从此版本开始,将不再存在默认密码,请牢记自己设置的密码!(xadmin密码也作为内置数据库H2的sa用户密码)
2.设置数据库
平台内置H2数据库,它是一个内嵌式的内存数据库,适合用于开发环境、功能演示环境,并不适合用作正式环境。如果作为正式环境使用,建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库,或外部数据库。
3.初始化数据
您可以将从其它服务器导出的数据包,在此页面中导入,以便于快速恢复或搭建应用。在您已有服务器进行导出操作(ctl -dd 命令,或在“系统配置”的“数据库配置”中操作),会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹,将其打包为zip文件后,可在服务器初始化时导入所有数据
4.确认初始化信息
如果已经准备好了服务器初始化配置,确认初始化信息。点击“执行”按钮,执行服务器初始化,完成后服务器会自动启动。点击“取消”按钮,取消服务器初始化,并关闭初始化服务器,您可以再次手工启动服务器,以完成初始化配置。
服务器初始化完成,提示进入系统登录页面
服务器数据初始化能力给了我们一个更加灵活的系统部署方案,我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力,详细的内容会在产品发布的视频介绍里详细说明,请留公众号信息。
系统安全加固
我们基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,系统安全加固包括如下几项:
以下信息,通过管理员进入平台的系统配置->服务器配置->服务器任务进行配置。
[系统安全加固] 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息
在 HTTP 响应消息的头部中,其中通常会包含网站的框架信息,来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息,还有可能暴露框架版本,攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。
1.增加Content-Security-Policy
Content-Security-Policy(内容安全策略)是一种网页安全策略,可以限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。它本质上是一个白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。
2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性,这些功能与特性通常可以通过 HTTP 响应头来控制,使用这些功能,可以避免受到浏览器端的用户受到类似 CSRF、XSS、Click Hijacking 等前端黑客攻击的影响。
3.增加X-Content-Type-Options 头信息
攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息,此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探,而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。
4.跨域来源许可,如果被攻击者利用,可能造成信息泄漏
[代码安全性优化] 代码中randow类都改为SecureRandom类
[加解密平台] 增加基于AES加解密方式,同时平台本身支持国密SM4
基于AES加解密的方式具有较高的安全性,因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式,在O2server/config/person.json文件里面得到配置:
【平台安全] 增加是否输出RestfulAPI文档页面,如果选择“是”,提供RestfulAPI接口访问,“否”为关闭。
[平台安全] 增加平台调用外部http接口调用地址增加白名单安全校验
增加白名单安全校验可以将信任的接口服务地址等添加到白名单中,以防止未知文件或代码执行。
[平台安全] 增加请求Referer校验,请求Referer校验是指,当请求一个链接时,服务器需要验证请求来源的过程,可以配置校验规则,通过配置正则表达式实现。
[平台安全]系统启用安全注销、登录有效时长、启用超级管理员口令配置功能,在系统配置->安全配置->登陆配置中进行配置。
1.启用后,点击“安全注销”,在任意终端执行安全注销将会同时注销所有终端登录状态。
2.登录有效时长功能,如果长时间不和服务器发生交互,系统会根据登录的有效时长注销此次登录,目前平台中设置的有效时长按分钟设置,默认15天。
3.超级管理员口令,一旦开启此功能,那么超级管理员的口令可以登录其他用户账户,管理员就能够用普通用户的身份进行维护和故障排除。
[平台安全] 启用CookieHttpOnly
启用CookieHttpOnly是一种安全措施,用于防止跨站脚本攻击(XSS)。当启用CookieHttpOnly时,只有通过HTTP协议传输的Cookie才会被浏览器接受和执行,而通过其他协议(如HTTPS)传输的Cookie则会被忽略。如果被攻击者利用,可能会被泄漏服务器敏感信息,我们在服务器平台配置项目中增加此项配置。
系统配置->登陆配置->更多配置
[平台安全] 平台使用的cookie增加配置是否启用secure
secure选项告诉浏览器该cookie应该仅通过HTTPS安全协议传输。当浏览器接收到没有使用HTTPS的请求时,它不会发送带有secure属性的cookie。
以上是关于即将发布的O2OA(翱途) V8.1的系统安全加固修复内容的罗列,更多的内容,请关注官网http://www.o2oa.net
此外,O2OA开发平台v8.1版本新增了一些重要的能力、重构了设计不够优秀的应用,也修复了之前遇到的各种问题。我们后续将会用文档或者视频的方式详细来介绍新增的功能和优化的亮点,欢迎大家一起来使用和体验,也希望大家在我们的藕粉社区多提宝贵建议。
我们坚持为大家提供更好的产品,为用户提供更优秀的开发、使用体验,让我们一起努力吧!
相关文章:
O2OA(翱途)开发平台 V8.1正式发布
尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们,平台 V8.1版本已正式发布。正值8月的最后一周,我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。 O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对…...
差异化竞争阵地的所在【周技术进阶】-从BS 项目C#最基础截取字符串方法开始
效果 代码 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks;namespace ConsoleAppNumberOneHelloWorld {class Program{static void Main(string[] args){Console.WriteLine("hello world…...
docker安装在linux下的docker安装操作步骤完整版
参考文档:http://wed.xjx100.cn/news/151901.html?actiononClick 第一步,卸载历史版本。这一步是可选的,如果之前安装过旧版本的Docker,可以使用如下命令进行卸载: yum remove docker \docker-client \docker-client…...
elasticsearch的搜索补全提示
当用户在搜索框输入字符时,我们应该提示出与该字符有关的搜索项 拼音分词器 下载 要实现根据字母做补全,就必须对文档按照拼音分词,GitHub上有拼音分词插件 GitHub - medcl/elasticsearch-analysis-pinyin: This Pinyin Analysis plugin…...
AJAX学习笔记7 AJAX实现省市联动
需求:网页上选择对应省份之后,动态的关联出该省份对应的市.选择对应的市之后,动态的关联出该市对应的区 关于省市区全国三级Mysql数据:全国省市区三级地区MySQL数据_biubiubiu0706的博客-CSDN博客 页面加载完毕显示所有省份 <!DOCTYPE html> <html lang&…...
国商佳美合作火山引擎数智平台 助推深圳餐博会及美博会数字化升级
更多技术交流、求职机会,欢迎关注字节跳动数据平台微信公众号,回复【1】进入官方交流群 近日,深圳市国商佳美展览有限公司(以下简称“深圳国商佳美”)与火山引擎数智平台VeDI达成合作,双方将聚焦于2023年11…...
数据结构与算法学习(day4)——解决实际问题
前言 在本章的学习此前,需要复习前三章的内容,每个算法都动手敲一遍解题。宁愿学慢一点,也要对每个算法掌握基本的理解! 前面我们学习了简化版桶排序、冒泡排序和快速排序三种算法,今天我们来实践一下前面的三种算法。…...
PG库列类型转换
首先自定义两个函数,其中try_cast_numeric函数是将字符类型转成数字类型,try_cast_timestamp函数是将字符类型转成时间戳类型。 create or replace function try_cast_numeric(p_in text, p_default numeric default null)returns numeric as $$ beginb…...
vue3中的reactive赋值问题
问题 当通过方法对reactive变量修改的时候,发现页面上的值没有及时更新? 解决方法 具体原因: 上面这样赋值检测不到,因为响应式的是它的属性,而不是它自身. 方法1: 单个赋值 如下: let obj reactive({name: zha…...
thinkphp 操作远程oracle遇到的相关坑
坑一:没有内置oracle 解决方法: 1,下载think-oracle 扩展,资源很多,百度即可下载,分别放置于db下的connector 和 builder 文件夹下 2,安装oracle本地客户端,一搜一大把,核…...
流媒体之推流和拉流
推流:将直播内容推送至服务器的过程 拉流:为服务器已有直播内容,用指定地址进行拉取的过程 什么是推流? 推流,指的是把采集阶段封包好的内容传输到服务器的过程。其实就是将现场的视频信号传到网络的过程。“推流”…...
浏览器中怎样查看前后端传值
路径:F12–>Network -->Fetch/XHR,选择一个接口地址。 在payload里面是前端发送给后端的参数。也即客户端发送给服务端的请求数据,即接口地址入参。 Preview和Response里都是后端返回给前端的。Preview是格式化过的,比较容易看。Resp…...
计算机竞赛 基于深度学习的人脸表情识别
文章目录 0 前言1 技术介绍1.1 技术概括1.2 目前表情识别实现技术 2 实现效果3 深度学习表情识别实现过程3.1 网络架构3.2 数据3.3 实现流程3.4 部分实现代码 4 最后 0 前言 🔥 优质竞赛项目系列,今天要分享的是 基于深度学习的人脸表情识别 该项目较…...
虹科分享 | MKA:基于先进车载网络安全解决方案的密钥协议
MKA作为MACsec的密钥协议,具有安全、高效、针对性强的特点,为您的汽车ECU通讯创建了一个安全的通信平台,可以助力您的各种汽车创新项目! 虹科方案 | 什么是基于MACsec的汽车MKA 一、MACsec在汽车行业的应用 在以往的文章中&#…...
jmeter 常数吞吐量定时器
模拟固定吞吐量的定时器。它可以控制测试计划中各个请求之间的时间间隔,以达到预期的吞吐量。 参数包括: Target Throughput:目标吞吐量(每分钟请求数)Calculate Throughput based on:吞吐量计算基准&…...
【大数据Hive】hive 加载数据常用方案使用详解
目录 一、前言 二、load 命令使用 2.1 load 概述 2.1.1 load 语法规则 2.1.2 load语法规则重要参数说明 2.2 load 数据加载操作演示 2.2.1 前置准备 2.2.2 加载本地数据 2.2.3 HDFS加载数据 2.2.4 从HDFS加载数据到分区表中并指定分区 2.3 hive3.0 load 命令新特性 …...
计及电池储能寿命损耗的微电网经济调度(matlab代码)
目录 1 主要内容 2 部分代码 3 程序结果 4 下载链接 1 主要内容 该程序参考文献《考虑寿命损耗的微网电池储能容量优化配置》模型,以购售电成本、燃料成本和储能寿命损耗成本三者之和为目标函数,创新考虑储能寿命损耗约束、放电深度约束和储能循环次…...
DP读书:鲲鹏处理器 架构与编程(十四)ACPI与软件架构具体调优
一分钟速通ACPI和鲲鹏软件移植 操作系统内核鲲鹏软件移植鲲鹏软件移植流程 编译工具选择编译参数移植案例源码修改案例鲲鹏分析扫描工具 Dependency Advisor鲲鹏代码迁移工具 Porting Advisor 鲲鹏软件性能调优鲲鹏软件性能调优流程CPU与内存子系统性能调优网络子系统性能调优磁…...
4.正则提取html中的img标签的src内容
我们以百度贴吧的1吧举例 目录 1 把网页搞下来 2 收集url 3 处理url 4 空的src 5 容错 6 不使用数字作为文件名 7 并不是所有的图片都用img标签表示 8 img标签中src请求下来不一定正确 9 分页 1 把网页搞下来 搞下来之后,双击打开是这样的 2 收…...
安装对应版本pytorch和torchvision
遇见报错: ERROR: Could not find a version that satisfies the requirement torch (from versions: none) ERROR: No matching distribution found for torch 解决方法: 1、网站找到对应torch和torchvision版本,cp对应python版本ÿ…...
挑战杯推荐项目
“人工智能”创意赛 - 智能艺术创作助手:借助大模型技术,开发能根据用户输入的主题、风格等要求,生成绘画、音乐、文学作品等多种形式艺术创作灵感或初稿的应用,帮助艺术家和创意爱好者激发创意、提高创作效率。 - 个性化梦境…...
MFC内存泄露
1、泄露代码示例 void X::SetApplicationBtn() {CMFCRibbonApplicationButton* pBtn GetApplicationButton();// 获取 Ribbon Bar 指针// 创建自定义按钮CCustomRibbonAppButton* pCustomButton new CCustomRibbonAppButton();pCustomButton->SetImage(IDB_BITMAP_Jdp26)…...
工程地质软件市场:发展现状、趋势与策略建议
一、引言 在工程建设领域,准确把握地质条件是确保项目顺利推进和安全运营的关键。工程地质软件作为处理、分析、模拟和展示工程地质数据的重要工具,正发挥着日益重要的作用。它凭借强大的数据处理能力、三维建模功能、空间分析工具和可视化展示手段&…...
使用van-uploader 的UI组件,结合vue2如何实现图片上传组件的封装
以下是基于 vant-ui(适配 Vue2 版本 )实现截图中照片上传预览、删除功能,并封装成可复用组件的完整代码,包含样式和逻辑实现,可直接在 Vue2 项目中使用: 1. 封装的图片上传组件 ImageUploader.vue <te…...
ETLCloud可能遇到的问题有哪些?常见坑位解析
数据集成平台ETLCloud,主要用于支持数据的抽取(Extract)、转换(Transform)和加载(Load)过程。提供了一个简洁直观的界面,以便用户可以在不同的数据源之间轻松地进行数据迁移和转换。…...
(转)什么是DockerCompose?它有什么作用?
一、什么是DockerCompose? DockerCompose可以基于Compose文件帮我们快速的部署分布式应用,而无需手动一个个创建和运行容器。 Compose文件是一个文本文件,通过指令定义集群中的每个容器如何运行。 DockerCompose就是把DockerFile转换成指令去运行。 …...
OPENCV形态学基础之二腐蚀
一.腐蚀的原理 (图1) 数学表达式:dst(x,y) erode(src(x,y)) min(x,y)src(xx,yy) 腐蚀也是图像形态学的基本功能之一,腐蚀跟膨胀属于反向操作,膨胀是把图像图像变大,而腐蚀就是把图像变小。腐蚀后的图像变小变暗淡。 腐蚀…...
学校时钟系统,标准考场时钟系统,AI亮相2025高考,赛思时钟系统为教育公平筑起“精准防线”
2025年#高考 将在近日拉开帷幕,#AI 监考一度冲上热搜。当AI深度融入高考,#时间同步 不再是辅助功能,而是决定AI监考系统成败的“生命线”。 AI亮相2025高考,40种异常行为0.5秒精准识别 2025年高考即将拉开帷幕,江西、…...
人机融合智能 | “人智交互”跨学科新领域
本文系统地提出基于“以人为中心AI(HCAI)”理念的人-人工智能交互(人智交互)这一跨学科新领域及框架,定义人智交互领域的理念、基本理论和关键问题、方法、开发流程和参与团队等,阐述提出人智交互新领域的意义。然后,提出人智交互研究的三种新范式取向以及它们的意义。最后,总结…...
RSS 2025|从说明书学习复杂机器人操作任务:NUS邵林团队提出全新机器人装配技能学习框架Manual2Skill
视觉语言模型(Vision-Language Models, VLMs),为真实环境中的机器人操作任务提供了极具潜力的解决方案。 尽管 VLMs 取得了显著进展,机器人仍难以胜任复杂的长时程任务(如家具装配),主要受限于人…...