阅读原文
【安全开关介绍】
从EOS Platform7.2开始,对于SQL注入、XSS跨站脚本攻击、跨站请求伪造攻击方面的问题增加了拦截器,设置了安全过滤开关,若项目需要可开启配置开关
【开启方式】
EOS Platform7.2/7.5开启方式
1、将apps_config\default\config\user-config.xml中颜色标记的false改为true,
<group name="Http-Security">
<configValue key="isOpenSecurity">false</configValue> //是否启用安全开关
<configValue key="isAllInHttps">false</configValue> //是否所有的请求都启用https协议
<!-- tomcat default config
<configValue key="host">localhost</configValue>
<configValue key="http-port">8080</configValue>
<configValue key="https-port">8443</configValue>
-->
......
</group>
提示:开启安全开关后,对tomcat应用服务器,还要将注释部分打开,并根据注释部分的配置参数配置tomcat应用服务器的HTTPS协议,HTTPS协议配置可参考tomcat说明;
2、打开apps_config\default\config\eos\handler-web.xml中的如下配置
<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>
EOS Platform7.6开启方式:
7.6中SCE在线开发平台是独立部署的,默认装好的目录下没有SCE介质,一些原先部署SCE就会有的安全配置,在默认安装好的7.6中就缺少了,可参考如下方式手动添加:
1、将apps_config\default\config\user-config.xml中isOpenSecurity的配置由false改为true,同时在该配置后增加红色标注的内容,根据项目实际情况进行配置
<group name="Http-Security">
<configValue key="isOpenSecurity">false</configValue> //是否启用安全开关
<configValue key="isAllInHttps">false</configValue> //是否所有的请求都启用https协议
<!-- tomcat default config
<configValue key="host">localhost</configValue>
<configValue key="http-port">8080</configValue>
<configValue key="https-port">8443</configValue> --> //此处配置同platform7.2/7.5,若应用服务器是tomcat,需将注释打开,在tomcat上配置https协议
<configValue key="Exclude">**/common.download</configValue>
......
</group>
2、打开apps_config\default\config\eos\handler-web.xml中的如下配置
<handler id="HttpRefererWebInterceptor"sortIdx="3"pattern="/*" class="com.eos.access.http.security.HttpRefererWebInterceptor"/>