-
-
yangqh 数据老手Lv5
发表于2023-1-5 18:29
楼主
本帖最后由 yangqh 于 2023-1-5 18:36 编辑
一.启动配置文件securityinit.properties(开启方法)
1.路径:/config/securityfilter/securityinit.properties
2.内容:
复制代码
enable:是否启动安全校验参数。(true为开启,false为关闭)
X-Frame-Options:
DENY 不允许其他网页嵌入本网页SAMEORIGIN 只能是同源域名下的网页ALLOW-FROM uri 指定可以嵌入的地址
X-XSS-Protection:
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换)
X-Content-Type-Options:
nosniff :某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行,通过下面这个响应头可以禁用浏览器的类型猜测行为。
Strict-Transport-Security:
max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。
includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过HTTPS协议来访问。
preload,可选参数,一个浏览器内置的使用HTTPS的域名列表。
例如:max-age=16070400 或者 max-age=16070400; includeSubDomains
开发人员的失误或者用户主动输入地址,都有可能导致用户以HTTP访问网站,降低了安全性。
一般,我们会通过Web Server发送301/302重定向来解决这个问题。现在有了HSTS,可以让浏览器帮你做这个跳转,省一次HTTP请求。
请注意,当您设置此标头时,您需要在端口443上运行的Web服务器。如果你没有它并且应用这个修复你的网站将不再可用。
参考文件:见文档后面《参考示例》
二.配置securityfilter.json
说明:各个工程配置该模块,在启动安全校验参数时,可过滤掉某些url地址的某些参数不进行校验。
场景:PC门户保存门户文件(content参数肯定含有标签,不进行校验)、资源管理器中保存文件(文件可能是xml文本,故内容参数content不进行校验) 等
1.路径:/config/securityfilter/securityfilter.json
参考文件: 见文档后面《参考示例2》(为了方便下载,文件后面带上了1,下载后自行去掉即可)
参考示例.zip
(385 Bytes, 下载次数: )
参考示例2.zip
(931 Bytes, 下载次数: )
一.启动配置文件securityinit.properties(开启方法)
1.路径:/config/securityfilter/securityinit.properties
2.内容:
- #是否启动安全检测
- enable=false
- X-Frame-Options=SAMEORIGIN
- X-XSS-Protection=1;mode=block
- X-Content-Type-Options=nosniff
- #该校验是强制使用https请求,如果没有要求是https请求则不要配置
- Strict-Transport-Security=max-age=16070400;includeSubDomains
- #敏感词中间以|进行分割
- sensitive_words=echo|exit
enable:是否启动安全校验参数。(true为开启,false为关闭)
X-Frame-Options:
DENY 不允许其他网页嵌入本网页SAMEORIGIN 只能是同源域名下的网页ALLOW-FROM uri 指定可以嵌入的地址
X-XSS-Protection:
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换)
X-Content-Type-Options:
nosniff :某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行,通过下面这个响应头可以禁用浏览器的类型猜测行为。
Strict-Transport-Security:
max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过HTTPS协议来访问。也就是对于这个网站的HTTP地址,浏览器需要先在本地替换为HTTPS之后再发送请求。
includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过HTTPS协议来访问。
preload,可选参数,一个浏览器内置的使用HTTPS的域名列表。
例如:max-age=16070400 或者 max-age=16070400; includeSubDomains
开发人员的失误或者用户主动输入地址,都有可能导致用户以HTTP访问网站,降低了安全性。
一般,我们会通过Web Server发送301/302重定向来解决这个问题。现在有了HSTS,可以让浏览器帮你做这个跳转,省一次HTTP请求。
请注意,当您设置此标头时,您需要在端口443上运行的Web服务器。如果你没有它并且应用这个修复你的网站将不再可用。
参考文件:见文档后面《参考示例》
二.配置securityfilter.json
说明:各个工程配置该模块,在启动安全校验参数时,可过滤掉某些url地址的某些参数不进行校验。
场景:PC门户保存门户文件(content参数肯定含有标签,不进行校验)、资源管理器中保存文件(文件可能是xml文本,故内容参数content不进行校验) 等
1.路径:/config/securityfilter/securityfilter.json
参考文件: 见文档后面《参考示例2》(为了方便下载,文件后面带上了1,下载后自行去掉即可)
参考示例.zip
(385 Bytes, 下载次数: )
参考示例2.zip
(931 Bytes, 下载次数: )
