尊敬的O2OA(翱途)平臺合作伙伴、用戶以及親愛的開發(fā)小伙伴們，平臺 V8.1版本已正式發(fā)布。正值8月的最后一周，我們以更安全、更高效、更好用的嶄新面貌迎接9月的到來。

O2OA開發(fā)平臺v8.1版本更注重于對系統(tǒng)級別的安全防護(hù)。其中重大的更新，是對系統(tǒng)安全進(jìn)行加固，包括管理員初始化密碼的配置，基于安全漏洞的掃描進(jìn)行漏洞的修補(bǔ)，脆弱性進(jìn)行分析并優(yōu)化。我們通過對系統(tǒng)進(jìn)行深入的安全性分析和增強(qiáng)，在系統(tǒng)安全加固、代碼安全優(yōu)化、加解密平臺，平臺安全上進(jìn)行優(yōu)化改進(jìn)，使用戶的系統(tǒng)更加強(qiáng)壯、穩(wěn)定和安全。本篇將重點(diǎn)介紹我們安全加固做了哪些優(yōu)化工作。

O2OA(翱途)開發(fā)平臺 V8.1正式發(fā)布。

功能新增

重要更新：[平臺架構(gòu)]新增第一次啟動服務(wù)器需要初始化設(shè)置的功能

O2OA V8.1 在服務(wù)器第一次啟動時(shí)，新增服務(wù)器初始化配置功能

1.設(shè)置管理員密碼

首次啟動服務(wù)器，您必須為超級管理員（xadmin）設(shè)置一個(gè)密碼。密碼長度必須6位以上，同時(shí)包含數(shù)字和字母。為了讓系統(tǒng)更加安全，O2OA從此版本開始，將不再存在默認(rèn)密碼，請牢記自己設(shè)置的密碼!（xadmin密碼也作為內(nèi)置數(shù)據(jù)庫H2的sa用戶密碼）

2.設(shè)置數(shù)據(jù)庫

平臺內(nèi)置H2數(shù)據(jù)庫，它是一個(gè)內(nèi)嵌式的內(nèi)存數(shù)據(jù)庫，適合用于開發(fā)環(huán)境、功能演示環(huán)境，并不適合用作正式環(huán)境。如果作為正式環(huán)境使用，建議您使用擁有更高性能并且更加穩(wěn)定的商用級別數(shù)據(jù)庫。你可以在此初始化服務(wù)器頁面選擇使用內(nèi)置H2數(shù)據(jù)庫，或外部數(shù)據(jù)庫。

3.初始化數(shù)據(jù)

您可以將從其它服務(wù)器導(dǎo)出的數(shù)據(jù)包，在此頁面中導(dǎo)入，以便于快速恢復(fù)或搭建應(yīng)用。在您已有服務(wù)器進(jìn)行導(dǎo)出操作（ctl -dd 命令，或在“系統(tǒng)配置”的“數(shù)據(jù)庫配置”中操作），會在服務(wù)器目錄“o2server/local/dump”下得到“dumpData_時(shí)間”的文件夾，將其打包為zip文件后，可在服務(wù)器初始化時(shí)導(dǎo)入所有數(shù)據(jù)

4.確認(rèn)初始化信息

如果已經(jīng)準(zhǔn)備好了服務(wù)器初始化配置，確認(rèn)初始化信息。點(diǎn)擊“執(zhí)行”按鈕，執(zhí)行服務(wù)器初始化，完成后服務(wù)器會自動啟動。點(diǎn)擊“取消”按鈕，取消服務(wù)器初始化，并關(guān)閉初始化服務(wù)器，您可以再次手工啟動服務(wù)器，以完成初始化配置。

服務(wù)器初始化完成，提示進(jìn)入系統(tǒng)登錄頁面

服務(wù)器數(shù)據(jù)初始化能力給了我們一個(gè)更加靈活的系統(tǒng)部署方案，我們可以準(zhǔn)備各種各樣的數(shù)據(jù)達(dá)到不同環(huán)境的系統(tǒng)部署目標(biāo)。歡迎大家下載、部署、體驗(yàn)版本系統(tǒng)的能力，詳細(xì)的內(nèi)容會在產(chǎn)品發(fā)布的視頻介紹里詳細(xì)說明，請留公眾號信息。

系統(tǒng)安全加固

我們基于安全漏洞的掃描進(jìn)行漏洞的修補(bǔ)，脆弱性進(jìn)行分析并優(yōu)化。我們通過對系統(tǒng)進(jìn)行深入的安全性分析和增強(qiáng)，系統(tǒng)安全加固包括如下幾項(xiàng)：

以下信息，通過管理員進(jìn)入平臺的系統(tǒng)配置->服務(wù)器配置->服務(wù)器任務(wù)進(jìn)行配置。

[系統(tǒng)安全加固]?增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 頭信息

在?HTTP?響應(yīng)消息的頭部中，其中通常會包含網(wǎng)站的框架信息，來表示網(wǎng)站使用了哪種框架、哪種語言、哪種?Web?容器等信息，還有可能暴露框架版本，攻擊者可以利用這類信息發(fā)起進(jìn)一步攻擊。所以我們增加了響應(yīng)頭的安全策略配置。

1.增加Content-Security-Policy

Content-Security-Policy（內(nèi)容安全策略）是一種網(wǎng)頁安全策略，可以限制哪些資源（如JavaScript、CSS、圖像等）可以被加載，從哪些url加載。它本質(zhì)上是一個(gè)白名單機(jī)制，開發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行，可以從哪些url加載資源。

2.增加X-XSS-Protection頭信息,X-XSS-Protection頭信息是用來防范XSS攻擊的瀏覽器提供了許多可選的安全相關(guān)功能與特性，這些功能與特性通?？梢酝ㄟ^?HTTP?響應(yīng)頭來控制，使用這些功能，可以避免受到瀏覽器端的用戶受到類似?CSRF、XSS、Click Hijacking?等前端黑客攻擊的影響。

3.增加X-Content-Type-Options 頭信息

攻擊者可能利用該漏洞結(jié)合其他前端漏洞獲取用戶敏感信息，此類問題事實(shí)上是要阻止瀏覽器對MIME的嗅探行為。當(dāng)MIME的類型缺失瀏覽器會通過查看資源對MIME進(jìn)行嗅探，而這個(gè)操作可能涉及安全問題。所以應(yīng)該盡量的設(shè)置MIME類型，然后禁用MIME嗅探的行為。

4.跨域來源許可，如果被攻擊者利用，可能造成信息泄漏

[代碼安全性優(yōu)化]?代碼中randow類都改為SecureRandom類

[加解密平臺]?增加基于AES加解密方式,同時(shí)平臺本身支持國密SM4

基于AES加解密的方式具有較高的安全性，因?yàn)閷ΨQ加密算法的密鑰只有加密和解密雙方知道。所以我們O2OA平臺中新增加解密方式，在O2server/config/person.json文件里面得到配置：

【平臺安全]?增加是否輸出RestfulAPI文檔頁面，如果選擇“是”，提供RestfulAPI接口訪問，“否”為關(guān)閉。

[平臺安全]?增加平臺調(diào)用外部http接口調(diào)用地址增加白名單安全校驗(yàn)

增加白名單安全校驗(yàn)可以將信任的接口服務(wù)地址等添加到白名單中，以防止未知文件或代碼執(zhí)行。

[平臺安全]?增加請求Referer校驗(yàn)，請求Referer校驗(yàn)是指，當(dāng)請求一個(gè)鏈接時(shí)，服務(wù)器需要驗(yàn)證請求來源的過程，可以配置校驗(yàn)規(guī)則，通過配置正則表達(dá)式實(shí)現(xiàn)。

[平臺安全]系統(tǒng)啟用安全注銷、登錄有效時(shí)長、啟用超級管理員口令配置功能，在系統(tǒng)配置->安全配置->登陸配置中進(jìn)行配置。

1.啟用后，點(diǎn)擊“安全注銷”，在任意終端執(zhí)行安全注銷將會同時(shí)注銷所有終端登錄狀態(tài)。

2.登錄有效時(shí)長功能，如果長時(shí)間不和服務(wù)器發(fā)生交互，系統(tǒng)會根據(jù)登錄的有效時(shí)長注銷此次登錄，目前平臺中設(shè)置的有效時(shí)長按分鐘設(shè)置，默認(rèn)15天。

3.超級管理員口令，一旦開啟此功能，那么超級管理員的口令可以登錄其他用戶賬戶，管理員就能夠用普通用戶的身份進(jìn)行維護(hù)和故障排除。

[平臺安全]?啟用CookieHttpOnly

啟用CookieHttpOnly是一種安全措施，用于防止跨站腳本攻擊（XSS）。當(dāng)啟用CookieHttpOnly時(shí)，只有通過HTTP協(xié)議傳輸?shù)腃ookie才會被瀏覽器接受和執(zhí)行，而通過其他協(xié)議（如HTTPS）傳輸?shù)腃ookie則會被忽略。如果被攻擊者利用，可能會被泄漏服務(wù)器敏感信息，我們在服務(wù)器平臺配置項(xiàng)目中增加此項(xiàng)配置。

系統(tǒng)配置->登陸配置->更多配置

[平臺安全]?平臺使用的cookie增加配置是否啟用secure

secure選項(xiàng)告訴瀏覽器該cookie應(yīng)該僅通過HTTPS安全協(xié)議傳輸。當(dāng)瀏覽器接收到?jīng)]有使用HTTPS的請求時(shí)，它不會發(fā)送帶有secure屬性的cookie。

以上是關(guān)于即將發(fā)布的O2OA(翱途) V8.1的系統(tǒng)安全加固修復(fù)內(nèi)容的羅列，更多的內(nèi)容，請關(guān)注官網(wǎng)http://www.o2oa.net

此外，O2OA開發(fā)平臺v8.1版本新增了一些重要的能力、重構(gòu)了設(shè)計(jì)不夠優(yōu)秀的應(yīng)用，也修復(fù)了之前遇到的各種問題。我們后續(xù)將會用文檔或者視頻的方式詳細(xì)來介紹新增的功能和優(yōu)化的亮點(diǎn)，歡迎大家一起來使用和體驗(yàn)，也希望大家在我們的藕粉社區(qū)多提寶貴建議。

我們堅(jiān)持為大家提供更好的產(chǎn)品，為用戶提供更優(yōu)秀的開發(fā)、使用體驗(yàn)，讓我們一起努力吧！