安全防护

编辑
  • 文档创建者:jiangsr
  • 浏览次数:1879次
  • 编辑次数:5次
  • 最近更新:jiangsr 于 2018-11-05
  • 1. 描述

    安全防护中有三个功能开关:Cookie增强、文件上传校验、Security Headers,增强平台的安全性。

    2. 介绍

    打开决策平台,选择管理系统>安全管理-安全防护,如下图所示:

    注:其中“Cookie”默认关闭,另外两个默认开启(可能存在兼容性问题以及开启需要满足条件条件)。


    2.1 Cookie增强

    注:要求服务器开启https(Cookie增强中Secure属性要求开启https否则不发送cookie)。

    Cookie增强功能点击开启时会对当前协议进行检测,检测结果为https时正常开启,检测结果为http时弹窗提示“检测到当前协议为http,未能成功启用。请确认服务器开启https后重试”,并开启失败,如下图:


    2.2 文件上传校验

    开启后,对填报及平台外观配置中上传文件的后缀和大小进行校验,如下:


    1)通过校验文件二进制头,禁止上传后缀与实际不符合的文件(比如a.txt 改成a.jpg后上传)

    2)平台外观设置中禁止上传超过20M的图片,件防止程序挂死(填报上传文件大小通过控的大小限制自行做限制),上传超出限制大小的图片弹出提示框,提示:“为使显示效果较佳,请选择尺寸不小于1024*768,大小不超过20M的图片,支持PNG、JPG格式”

    2.3 Security Headers

    安全头系列设置,开启后将给请求头附加HTTP Security Headers属性,阻止漏洞攻击,如下:



    点击高级设置展开高级防护功能开关,共五个,如下图所示:

    注:当Security Headers功能开启时默认全部开启,Security Headers关闭时默认全部关闭,同时不允许开启高级防护功能。


    Security Headers--安全头系列,其中包括:

    1)CSP内容安全策略——开启后,请求头部增加Content-Security-Policy:object-src 'self'设置

    2)XSS攻击防护——开启后,请求头部增加X-XSS-Protection:1; mode=block设置

    3)点击劫持攻击防护——开启后,请求头部增加X-Frame-Options:SAMEORIGIN设置

    4)内容嗅探攻击防护——开启后,请求头部增加X-Content-Type-Options:nosniff设置

    5)浏览器缓存禁用——开启后,增加Cache-Control:no-cache、Pragma:no-cache&Expires:0设置

    注:如果使用跨域iframe的方式嵌入报表,出现无法访问的情况,请关闭【Security Headers】高级设置中的【点击劫持攻击防护功能】。

    注:单点登录时若报跨域的问题,请关闭【Security Headers】高级设置中的【内容嗅探攻击防护】。

    默认开启的具体设置如下:

    res.addHeader("X-Content-Type-Options", "nosniff");
    res.addHeader("X-XSS-Protection", "1; mode=block");
    res.addHeader("X-Frame-Options", "SAMEORIGIN");
    res.addHeader("Content-Security-Policy", "object-src 'self'");
    res.addHeader("Cache-Control", "no-cache");
    res.addHeader("Pragma", "no-cache");
    res.addDateHeader("Expires", 0);


    附件列表


    主题: 决策系统
    标签: 暂无标签 编辑/添加标签
    如果您认为本文档还有待完善,请编辑

    文档内容仅供参考,如果你需要获取更多帮助,付费/准付费客户请咨询帆软技术支持
    关于技术问题,您还可以前往帆软社区,点击顶部搜索框旁边的提问按钮
    若您还有其他非技术类问题,可以联系帆软传说哥(qq:1745114201

    此页面有帮助吗?只是浏览 [ 去社区提问 ]