SSCMS 新版本 V7.3.0

欢迎使用 2024 年 2 月发布的 SSCMS v7.3.0 版本。新版本采用最新的 .NET 8 作为开发框架，同时新版本针对后台的用户体验进行了大量优化，新增了人大金仓数据库国产支持，增加了部分功能并修复了已知漏洞，更新带来的主要亮点包括：

• 采用最新.NET 8 框架 - .NET 8 带来了数千项性能改进，是 Microsoft 发布的最新一代 .NET 框架。

• 用户体验优化 - 针对后台用户体验进行了全面的完善与优化。

• 漏洞修复及安全增强 - 新版本有针对性地对系统安全性进行了加强，修复漏洞。

• 新增人大金仓数据库 - 针对国产人大金仓数据库进行了深度集成，现已全面支持人大金仓数据库。

• 新增表单 REST API - 新版本新增了表单 API，能够通过API的方式实现完整的创建、字段设置、提交表单等功能。

• 其他优化及功能修复 - 根据 github 与 gitee 中用户的反馈，我们对新版本进行了优化及功能修复。

采用最新.NET 8 框架

.NET 8 带来了数千项性能改进，是 Microsoft 发布的最新一代 .NET 框架，它引入了许多新功能和改进，旨在提高性能、可扩展性和开发效率，本次发布的 SSCMS v7.3.0 将采用全新的 .NET 8 作为底层框架，与微软保持同步。

.NET 8 包含众多亮点，其中主要包括：

• 性能提升：.NET 8 引入了名为“性能计数器”的新功能，可帮助开发人员了解应用程序的性能瓶颈，并采取相应的优化措施。此外，.NET 8 还对许多现有的组件和库进行了优化，以提高应用程序的整体性能。

• 新的异步编程模型：.NET 8 引入了名为“协程”的新的异步编程模型，它可以更自然地处理异步操作和长时间运行的任务。协程可以在同一个线程上执行多个异步操作，从而避免了线程切换和上下文切换的开销。

• 云原生支持：.NET 8 提供了更好的云原生支持，可以更轻松地将应用程序部署到 Kubernetes 等容器化平台中。.NET 8 还支持使用 Docker 等容器化工具打包和分发应用程序。

• 新的开发工具：.NET 8 引入了新的开发工具，如 R#”、Visual Studio Code“ 和 Visual Studio IDE 等，这些工具可以帮助开发人员更高效地编写、调试和测试代码。

• 跨平台支持：.NET 8 可以在多个平台上运行，包括 Windows、macOS 和 Linux 等操作系统。此外，.NET 8 还支持在移动设备、Web 应用程序和游戏开发等领域中使用。

• 人工智能和机器学习：.NET 8 内置了对人工智能和机器学习的支持，可以更轻松地使用这些技术来构建智能应用程序。

• 安全性改进：.NET 8 对安全性进行了改进，包括更好的代码签名和加密技术、对 .NET 反射的限制、对代码访问控制的改进等。

.NET 8 详情查看发布公告：https://learn.microsoft.com/zh-cn/dotnet/core/whats-new/dotnet-8

用户体验优化

V7.3.0 版本针对后台用户体验进行了全面的完善与优化：#

内容列表页面

• 鼠标拖拽排序功能，能够快速将指定内容拖拽到对应排序位置。

• 鼠标双击快速编辑功能，在需要编辑的内容列双击鼠标，系统将弹出内容编辑界面。

#内容编辑页面

• 新增 CTRL + S 保存快捷键，快速保存提交（CTRL + 回车 保存快捷键依旧可以使用）。

• 图片拷贝粘贴功能，通过 CTRL + C 拷贝一个或多个图片文件，进入内容编辑页面后按 CTRL + V 粘贴快捷键，系统将自动上传图片并保存至图片字段中。

• 视频拷贝粘贴功能，通过 CTRL + C 拷贝一个或多个视频文件，进入内容编辑页面后按 CTRL + V 粘贴快捷键，系统将自动上传视频并保存至视频字段中。

• 附件拷贝粘贴功能，通过 CTRL + C 拷贝一个或多个附件文件，进入内容编辑页面后按 CTRL + V 粘贴快捷键，系统将自动上传附件并保存至附件字段中。

• 优化提交功能，系统将判断内容是否完整，不完整的，系统将自动跳转到该位置以便快速编辑。

#模板编辑页面

• 新增 CTRL + S 保存快捷键，快速保存模板内容。

• 新增 CTRL + B 生成快捷键，快速生成模板页面。

#其他页面

• 系统所有包含表单的页面均支持 CTRL + S 保存快捷键，快速保存提交。

#漏洞修复及安全增强

V7.3.0 版本修复安全漏洞：

• 修复 Microsoft.Data.SqlClient and System.Data.SqlClient vulnerable to SQL Data Provider Security Feature Bypass CVE-2024-0056漏洞

• 修复 HtmlSanitizer vulnerable to Cross-site Scripting in Foreign Content CVE-2023-44390漏洞

• 修复 Axios Cross-Site Request Forgery Vulnerability CVE-2023-45857漏洞

• 修复生成页面接口垂直越权漏洞 #3718

• 修复查看管理员水平越权漏洞 #3719

• 修复查看用户水平越权漏洞 #3720

• 验证码机制存在重用漏洞 #3696

• 修复未授权访问漏洞：应用系统对业务功能页面并未进行有效的身份校验，在未登录且获知业务功能页面的访问地址前提下，可直接操作该页面下的功能，将可能对应用系统的恶意破坏。

• 修复攻击者可通过上传svg后缀格式文件，通过在svg文件中插入XSS攻击Payload，可造成存储XSS漏洞。

• 修复用户中心信息修改处存在服务器端请求伪造（SSRF）漏洞。

• 其他安全增强及优化。

#新增人大金仓数据库

V7.3.0 版本针对国产人大金仓数据库进行了深度集成，现已全面支持人大金仓数据库。

人大金仓是一款面向全行业、全客户关键应用的企业级大型通用数据库管理系统，适用于联机事务处理、查询密集型数据仓库、要求苛刻的互联网应用等场景。

#新增表单 REST API

新版本新增了表单 API，能够通过API的方式实现完整的创建、字段设置、提交表单等功能。

• 新增 清除缓存 API

• 新增 重启系统 API

• 新增 提交表单 API

• 新增 获取表单数据列表 API

• 新增 获取表单字段列表 API

• 新增 发送表单手机验证 API

• 新增 上传文件 API

• 新增 获取用户列表 API page与perPage参数

• 新增 获取内容列表 API index参数

• 修复 APIKey 关联管理员账号后，接口权限不随着管理员账号权限的问题 #I7JZIB

#其他优化及功能修复

根据 github 以及 gitee 中用户的反馈，我们对新版本进行了以下优化及功能修复：

• 修复 CTRL + S 保存快捷键使用时触发浏览器事件导致 ajax 请求失败问题

• 新增显示当前日期标签：<stl:value type="date" format="yyyy-MM-dd"></stl:value>，可以通过format属性自定义日期显示格式

• 修复微信 POST 请求发生错误，错误代码：45106问题

• 修复微信 GET 请求发生错误，错误代码：48001问题 #3054

• 修复微信 POST 请求发生错误，错误代码：48001问题 #2602 #2635

• el-cascader组件树构造问题导致多余渲染 #2911

• 新增-模板管理-里面的模版能导出导入

• 新增定时执行采集任务功能 #3626 #3649

• 优化采集插件，实现采集完成后自动生成内容及栏目页面功能

• 优化采集插件，新增批量采集功能 #3721

• 新增素材图片管理批量删除功能

• 修复素材管理中图片管理拉取微信公众号素材问题

• 跨站转发审核设置bug #3717

• 优化上传视频的时候没有进度条或者百分比问题 #I7VKIN

• 素材管理界面上传视频增加百分比进度条

• 内容管理界面编辑器上传视频增加百分比进度条

• 内容管理界面视频字段上传视频增加百分比进度条

• 修复内容搜索能搜索出当前管理员无查看权限的栏目内容问题

• 修复内容审核能搜索出当前管理员无审核权限的栏目内容问题

• 修复联动字段在后台列表页显示时只显示Id问题

• 修复模板在线解析第二次点击解析后预览结果无变化问题

• 修复 <stl:if> 条件判断对 Keywords 和 Description 字段无效问题 #2980

• 栏目管理新增是否开启生成内容页面功能

• 内容列表拖拽排序

• 管理员修改个人密码应验证旧密码 #3698

• 修复使用达梦数据库安装时，永远跳转到安装界面问题 #3638

• 关于命令模式下数据迁移到达梦的问题 #3710

• 新增直接拷贝粘贴图片功能，可以在内容编辑界面中直接截图或者拷贝图片文件（可以拷贝多幅图片），系统将自动上传至图片字段中

• 新增直接拷贝粘贴视频功能，可以在内容编辑界面中拷贝视频文件（可以拷贝多个视频文件），系统将自动上传至视频字段中

• 新增直接拷贝粘贴附件功能，可以在内容编辑界面中拷贝附件（可以拷贝多个附件），系统将自动上传至附件字段中

• 修复内容字段 {Content.AddUserName}不解析问题 #3706

• 前台注册用户Home界面添加内容界面，选择视频上传后，文档框中不出现视频路径 #3704

• 修复开启多级审核出现功能异常问题 #I4HI97

• 信息管理——内容审核，搜索存在问题 #3661

• 修复跨站转发后，内容中插入的视频没有复制过去问题 #I890B3

• 修复内容审核审核状态显示不全问题 #3659

• 修复普通管理员导入管理员账号时，列表中无显示问题 #I89ALB

• 内容搜索 -> 添加搜索项，添加人、最后修改人，无法正确显示搜索结果 #I87RWP

• 信息管理--内容管理--内容列表中的状态字段权限问题 #3674

• 修复 stl:value 标签 bug #3643

• <stl:if> 标签新增判断用户账号的条件，根据登陆的用户账号来做判断

• 修复批量替换子管理员权限的问题问题 #I84BPF

• 修复内容回收站子管理员权限的问题问题 #I84BZ6

• 信息管理——内容审核，搜索存在问题 #3661

• 新增自定义下载功能，在附件上传设置中增加了下载附件类型 #I5P4FM

• 修复下载.apk文件跳转到404页面问题 #3644

• 增加UserGroup类型op参数条件判断：<stl:if type="UserGroup" op="In" value="认证用户,贵宾">

• 栏目管理-拖动栏目节点，会导致ParentsPath数据异常 #I6X0AG

• 修复dynamic标签url规范错误问题 #3633

• 修复子管理员权限问题 #3590 #I83SZ2

• 新增内容管理界面栏目提示功能，用于栏目结构比较深的情况显示栏目全面

• 修复查看内容弹出窗口无法显示图片问题

• 新增查看内容弹出窗口预览及审核功能

• 修复手动修改数据库后，在系统缓存页面点击清空缓存后无法更新数据问题

• 修复内容相册插件（sscms.photos）新增图片界面只能上传，无法选择图片问题

• 修复标签 <stl:each type="FileUrl"> 在动态解析环境下无效问题

• 升级sscms.login登录插件至1.2.2版本，更新API接口

• 插件管理界面中增加离线安装/更新插件功能

• 新增 {stl.tableName} 实体标签，用于显示站点内容表名称

• 网站云全面支持IPV6

• 新增站点日志、管理员日志、用户日志、系统错误日志导出Excel功能，以便永久异地保存日志备份

• 修复 stl:form 标签生成表单路径在设置站点API独立地址后自定义表单时地址不正确问题

• 修复新增资源文件参数错误问题 #I8ZV20