EOS Platform7.2/7.5/7/.6安全开启开启方式

阅读原文

【安全开关介绍】

从EOS Platform7.2开始，对于SQL注入、XSS跨站脚本攻击、跨站请求伪造攻击方面的问题增加了拦截器，设置了安全过滤开关，若项目需要可开启配置开关

【开启方式】

EOS Platform7.2/7.5开启方式

1、将apps_config\default\config\user-config.xml中颜色标记的false改为true，

<group name="Http-Security">            

<configValue key="isOpenSecurity">false</configValue>   //是否启用安全开关          

<configValue key="isAllInHttps">false</configValue>            //是否所有的请求都启用https协议

 <!-- tomcat default config           

<configValue key="host">localhost</configValue>           

<configValue key="http-port">8080</configValue>           

<configValue key="https-port">8443</configValue>            

-->            

......

</group>    

提示：开启安全开关后，对tomcat应用服务器，还要将注释部分打开，并根据注释部分的配置参数配置tomcat应用服务器的HTTPS协议，HTTPS协议配置可参考tomcat说明；

2、打开apps_config\default\config\eos\handler-web.xml中的如下配置

<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>

 

EOS Platform7.6开启方式：

7.6中SCE在线开发平台是独立部署的，默认装好的目录下没有SCE介质，一些原先部署SCE就会有的安全配置，在默认安装好的7.6中就缺少了，可参考如下方式手动添加：

1、将apps_config\default\config\user-config.xml中isOpenSecurity的配置由false改为true，同时在该配置后增加红色标注的内容，根据项目实际情况进行配置

 <group name="Http-Security">            

<configValue key="isOpenSecurity">false</configValue>        //是否启用安全开关 

 <configValue key="isAllInHttps">false</configValue>             //是否所有的请求都启用https协议

<!-- tomcat default config    

<configValue key="host">localhost</configValue>    

<configValue key="http-port">8080</configValue>    

<configValue key="https-port">8443</configValue>     -->       //此处配置同platform7.2/7.5，若应用服务器是tomcat，需将注释打开，在tomcat上配置https协议

 <configValue key="Exclude">**/common.download</configValue>

......

</group> 

2、打开apps_config\default\config\eos\handler-web.xml中的如下配置

<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>