Java 全开源应用开发平台 - O2OA (翱途) V8.1正式发布,包含大量功能点


尊敬的O2OA(翱途)平台伙伴、用户以及亲爱的小伙伴们,平台 V8.1版本已正式发布。我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。

O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新,是对系统安全进行加固,包括管理员初始化密码的配置,基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,在系统安全加固、代码安全优化、加解密平台,平台安全上进行优化改进,使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。

O2OA(翱途)开发平台 V8.1正式发布。

 

功能新增

重要更新:【平台架构】新增首次启动服务器需要初始化设置的功能

O2OA V8.1 在服务器首次启动时,新增服务器初始化配置功能

1.设置管理员密码

首次启动服务器,您必须为超级管理员(xadmin)设置一个密码。密码长度必须6位以上,同时包含数字和字母。为了让系统更加安全,O2OA从此版本开始,将不再存在默认密码,请牢记自己设置的密码!(xadmin密码也作为内置数据库H2的sa用户密码)

2.设置数据库

平台内置H2数据库,它是一个内嵌式的内存数据库,适合用于开发环境、功能演示环境,并不适合用作正式环境。如果作为正式环境使用,建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库,或外部数据库。

3.初始化数据

您可以将从其它服务器导出的数据包,在此页面中导入,以便于快速恢复或搭建应用。在您已有服务器进行导出操作(ctl -dd 命令,或在“系统配置”的“数据库配置”中操作),会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹,将其打包为zip文件后,可在服务器初始化时导入所有数据

4.确认初始化信息

如果已经准备好了服务器初始化配置,确认初始化信息。点击“执行”按钮,执行服务器初始化,完成后服务器会自动启动。点击“取消”按钮,取消服务器初始化,并关闭初始化服务器,您可以再次手工启动服务器,以完成初始化配置。

服务器初始化完成,提示进入系统登录页面

服务器数据初始化能力给了我们一个更加灵活的系统部署方案,我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力,详细的内容会在产品发布的视频介绍里详细说明。

 

系统安全加固

我们基于安全漏洞的扫描进行漏洞的修补,脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强,系统安全加固包括如下几项:

以下信息,通过管理员进入平台的系统配置->服务器配置->服务器任务进行配置。

【系统安全加固】 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息

 HTTP 响应消息的头部中,其中通常会包含网站的框架信息,来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息,还有可能暴露框架版本,攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。

1.增加Content-Security-Policy

Content-Security-Policy(内容安全策略)是一种网页安全策略,可以限制哪些资源(如JavaScript、CSS、图像等)可以被加载,从哪些url加载。它本质上是一个白名单机制,开发者明确告诉浏览器哪些外部资源可以加载和执行,可以从哪些url加载资源。

2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性,这些功能与特性通常可以通过 HTTP 响应头来控制,使用这些功能,可以避免受到浏览器端的用户受到类似 CSRFXSSClick Hijacking 等前端攻击的影响。

3.增加X-Content-Type-Options 头信息

攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息,此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探,而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型,然后禁用MIME嗅探的行为。

4.跨域来源许可,如果被攻击者利用,可能造成信息泄漏

【代码安全性优化】 代码中randow类都改为SecureRandom类

【加解密平台】 增加基于AES加解密方式,同时平台本身支持国密SM4

基于AES加解密的方式具有较高的安全性,因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式,在O2server/config/person.json文件里面得到配置:

 

平台安全】增加是否输出RestfulAPI文档页面,如果选择“是”,提供RestfulAPI接口访问,“否”为关闭。

【平台安全】 增加平台调用外部http接口调用地址增加白名单安全校验

增加白名单安全校验可以将信任的接口服务地址等添加到白名单中,以防止未知文件或代码执行。

【平台安全】 增加请求Referer校验,请求Referer校验是指,当请求一个链接时,服务器需要验证请求来源的过程,可以配置校验规则,通过配置正则表达式实现。

【平台安全】系统启用安全注销、登录有效时长、启用超级管理员口令配置功能,在系统配置->安全配置->登陆配置中进行配置。

1.启用后,点击“安全注销”,在任意终端执行安全注销将会同时注销所有终端登录状态。

2.登录有效时长功能,如果长时间不和服务器发生交互,系统会根据登录的有效时长注销此次登录,目前平台中设置的有效时长按分钟设置,默认15天。

3.超级管理员口令,一旦开启此功能,那么超级管理员的口令可以登录其他用户账户,管理员就能够用普通用户的身份进行维护和故障排除。

【平台安全】 启用CookieHttpOnly

启用CookieHttpOnly是一种安全措施,用于防止跨站脚本攻击(XSS)。当启用CookieHttpOnly时,只有通过HTTP协议传输的Cookie才会被浏览器接受和执行,而通过其他协议(如HTTPS)传输的Cookie则会被忽略。如果被攻击者利用,可能会被泄漏服务器敏感信息,我们在服务器平台配置项目中增加此项配置。

系统配置->登陆配置->更多配置

【平台安全】 平台使用的cookie增加配置是否启用secure

secure选项告诉浏览器该cookie应该仅通过HTTPS安全协议传输。当浏览器接收到没有使用HTTPS的请求时,它不会发送带有secure属性的cookie。

 

以上是关于即将发布的O2OA(翱途) V8.1的系统安全加固修复内容的罗列,更多的内容,请关注官网。

此外,O2OA开发平台v8.1版本新增了一些重要的能力、重构了设计不够优秀的应用,也修复了之前遇到的各种问题。我们后续将会用文档或者视频的方式详细来介绍新增的功能和优化的亮点,欢迎大家一起来使用和体验,也希望大家在我们的藕粉社区多提宝贵建议。

我们坚持为大家提供更好的产品,为用户提供更优秀的开发、使用体验,让我们一起努力吧!


相關推薦

2023-05-07

亲爱的小伙伴们,O2OA (翱途) 平台开发团队经过几个月的持续努力,实现功能的新增、优化以及问题的修复。2023 年度 V8.0 版本已正式发布。欢迎大家到 O2OA 的官网上下载进行体验,也希望大家在藕粉社区里多提宝贵建议。本篇

2023-11-18

尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们,平台新的版本就要发布啦! 上次8.1的发布是在9月1日,又过去两个多月,O2OA研发团队始终踏踏实实地做好产品的研发及优化工作,只为给客户带去更好的服务和产

2022-09-06

O2OA V7.2.0 发布,新增了平台配置中的【系统配置图形化模块】和企业网盘【企业文件模块】。 O2OA V7.2.0中,新增了【系统配置图形化模块】,在系统配置中点击界面配置,可以对系统界面进行个性化的更改,比如选择进入系统

2024-07-11

发型,并具有垃圾回收功能的编程语言,于 2009 年 11 月正式宣布推出成为开源项目,2012 年发布 1.0 版本。 如今,谷歌仍在继续投资该语言,最新的稳定版本是 1.22.5。在最新的 TIOBE 7 月榜单中,Go 排名第七。与其他所有编程语

2023-12-16

化了数据库对象的创建、维护和使用。 pgAdmin 4 v8.1 现已发布。自 pgAdmin 4 v8.0 发布以来,此版本包含许多错误修复和新功能。 支持的数据库服务器 PostgreSQL:12, 13, 14, 15, and 16 EDB Advanced Server:12, 13, 14, 15, and 16 捆绑的 Postg

2023-05-07

。此版本还标志着之前作为实验性发布的几个主要功能的正式发布 — 我们希望您和我们一样渴望将段复制、可搜索快照等功能投入生产!完整的改进记录请看 发行说明,您可以在 Playground 上探索 OpenSearch 的可视化工

2023-11-03

是否有任何 Theora 加载尝试发生;然后等待几个 Firefox 的发布周期,再在测试阶段将其移除,最后继续从 Firefox 中移除 Theora 支持。 在 Firefox Nightly 中禁用 Theora,修复大量依赖 Theora 的测试,在合理的情况下将测试向量转换为

2023-02-08

20 倍以上) 腾讯官方开源 (使用 GitHub、Gitee、工蜂 等平台的官方账号开源,微信公众号、腾讯云+社区 等官方公告) 社区影响力大 (GitHub 14K+ Star 在 400W+ Java 项目中排名前 100,远超 FLAG, BAT 等国内外绝大部分开源项目)

2023-11-28

jsoup 1.17.1 现已发布,支持 request-level 身份验证、属性名称和值源范围、stream( ) 可迭代支持以及大量其他改进和错误修复。jsoup 是一个用于处理 real-world HTML 的 Java 库。它使用最好的 HTML5 DOM 方法和 CSS 选择器提供了一

2023-10-25

!1028 苏州源创会,一起寻宝 AI 时代 项目简介 JECloud 平台后端采用微服务架构,前端采用微应用架构,可做到不同服务使用不同数据库独立运行。全平台采用基于模型驱动的设计模式,并在前后端留有大量的代码植入入口,

2024-06-27

社区小伙伴们,Apache Doris 2.1.4 版本已于 2024 年 6 月 26 日正式发布。在 2.1.4 版本中,我们对数据湖分析场景进行了多项功能体验优化,重点修复了旧版本中异常内存占用的问题,同时提交了若干改进项以及问题修复,进一步提升

2022-12-03

织,旨在支持一个创新的、商业友好的开源生态系统 .NET 平台。” ,而 AWS 是该基金会仅有的 10 家企业赞助商之一。 另一方面,微软的 .NET 团队固然投入了大量精力,但在技术层面上,.NET 开源之后的跨平台进程包含大量外部

2024-07-27

Linux Mint 22 “Wilma” 已正式发布,这是一个长期支持版本 (LTS),将支持到 2029 年。 新版本提供了更好的语言支持。现在,当你安装 Linux Mint 22 时,只有你选择的语言和英语会在安装结束时保留下来,这为你节省了大量空间。大

2024-05-16

意的是,Git for Windows 的 32 位版本已被弃用;其最后一个正式版本计划于 2025 年发布。 New Features 随附 Git v2.45.1 Bug 修复 CVE-2024-32002:支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响