O2OA(翱途)开发平台 V8.1正式发布-编程知识

尊敬的O2OA(翱途)平台合作伙伴、用户以及亲爱的开发小伙伴们，平台 V8.1版本已正式发布。正值8月的最后一周，我们以更安全、更高效、更好用的崭新面貌迎接9月的到来。

O2OA开发平台v8.1版本更注重于对系统级别的安全防护。其中重大的更新，是对系统安全进行加固，包括管理员初始化密码的配置，基于安全漏洞的扫描进行漏洞的修补，脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强，在系统安全加固、代码安全优化、加解密平台，平台安全上进行优化改进，使用户的系统更加强壮、稳定和安全。本篇将重点介绍我们安全加固做了哪些优化工作。

O2OA(翱途)开发平台 V8.1正式发布。

功能新增

重要更新：[平台架构]新增第一次启动服务器需要初始化设置的功能

O2OA V8.1 在服务器第一次启动时，新增服务器初始化配置功能

1.设置管理员密码

首次启动服务器，您必须为超级管理员（xadmin）设置一个密码。密码长度必须6位以上，同时包含数字和字母。为了让系统更加安全，O2OA从此版本开始，将不再存在默认密码，请牢记自己设置的密码!（xadmin密码也作为内置数据库H2的sa用户密码）

2.设置数据库

平台内置H2数据库，它是一个内嵌式的内存数据库，适合用于开发环境、功能演示环境，并不适合用作正式环境。如果作为正式环境使用，建议您使用拥有更高性能并且更加稳定的商用级别数据库。你可以在此初始化服务器页面选择使用内置H2数据库，或外部数据库。

3.初始化数据

您可以将从其它服务器导出的数据包，在此页面中导入，以便于快速恢复或搭建应用。在您已有服务器进行导出操作（ctl -dd 命令，或在“系统配置”的“数据库配置”中操作），会在服务器目录“o2server/local/dump”下得到“dumpData_时间”的文件夹，将其打包为zip文件后，可在服务器初始化时导入所有数据

4.确认初始化信息

如果已经准备好了服务器初始化配置，确认初始化信息。点击“执行”按钮，执行服务器初始化，完成后服务器会自动启动。点击“取消”按钮，取消服务器初始化，并关闭初始化服务器，您可以再次手工启动服务器，以完成初始化配置。

服务器初始化完成，提示进入系统登录页面

服务器数据初始化能力给了我们一个更加灵活的系统部署方案，我们可以准备各种各样的数据达到不同环境的系统部署目标。欢迎大家下载、部署、体验版本系统的能力，详细的内容会在产品发布的视频介绍里详细说明，请留公众号信息。

系统安全加固

我们基于安全漏洞的扫描进行漏洞的修补，脆弱性进行分析并优化。我们通过对系统进行深入的安全性分析和增强，系统安全加固包括如下几项：

以下信息，通过管理员进入平台的系统配置->服务器配置->服务器任务进行配置。

[系统安全加固] 增加Content-Security-Policy,X-XSS-Protection,X-Content-Type-Options 头信息

在 HTTP 响应消息的头部中，其中通常会包含网站的框架信息，来表示网站使用了哪种框架、哪种语言、哪种 Web 容器等信息，还有可能暴露框架版本，攻击者可以利用这类信息发起进一步攻击。所以我们增加了响应头的安全策略配置。

1.增加Content-Security-Policy

Content-Security-Policy（内容安全策略）是一种网页安全策略，可以限制哪些资源（如JavaScript、CSS、图像等）可以被加载，从哪些url加载。它本质上是一个白名单机制，开发者明确告诉浏览器哪些外部资源可以加载和执行，可以从哪些url加载资源。

2.增加X-XSS-Protection头信息,X-XSS-Protection头信息是用来防范XSS攻击的浏览器提供了许多可选的安全相关功能与特性，这些功能与特性通常可以通过 HTTP 响应头来控制，使用这些功能，可以避免受到浏览器端的用户受到类似 CSRF、XSS、Click Hijacking 等前端黑客攻击的影响。

3.增加X-Content-Type-Options 头信息

攻击者可能利用该漏洞结合其他前端漏洞获取用户敏感信息，此类问题事实上是要阻止浏览器对MIME的嗅探行为。当MIME的类型缺失浏览器会通过查看资源对MIME进行嗅探，而这个操作可能涉及安全问题。所以应该尽量的设置MIME类型，然后禁用MIME嗅探的行为。

4.跨域来源许可，如果被攻击者利用，可能造成信息泄漏

[代码安全性优化] 代码中randow类都改为SecureRandom类

[加解密平台] 增加基于AES加解密方式,同时平台本身支持国密SM4

基于AES加解密的方式具有较高的安全性，因为对称加密算法的密钥只有加密和解密双方知道。所以我们O2OA平台中新增加解密方式，在O2server/config/person.json文件里面得到配置：

【平台安全] 增加是否输出RestfulAPI文档页面，如果选择“是”，提供RestfulAPI接口访问，“否”为关闭。

[平台安全] 增加平台调用外部http接口调用地址增加白名单安全校验

增加白名单安全校验可以将信任的接口服务地址等添加到白名单中，以防止未知文件或代码执行。

[平台安全] 增加请求Referer校验，请求Referer校验是指，当请求一个链接时，服务器需要验证请求来源的过程，可以配置校验规则，通过配置正则表达式实现。

[平台安全]系统启用安全注销、登录有效时长、启用超级管理员口令配置功能，在系统配置->安全配置->登陆配置中进行配置。

1.启用后，点击“安全注销”，在任意终端执行安全注销将会同时注销所有终端登录状态。

2.登录有效时长功能，如果长时间不和服务器发生交互，系统会根据登录的有效时长注销此次登录，目前平台中设置的有效时长按分钟设置，默认15天。

3.超级管理员口令，一旦开启此功能，那么超级管理员的口令可以登录其他用户账户，管理员就能够用普通用户的身份进行维护和故障排除。

[平台安全] 启用CookieHttpOnly

启用CookieHttpOnly是一种安全措施，用于防止跨站脚本攻击（XSS）。当启用CookieHttpOnly时，只有通过HTTP协议传输的Cookie才会被浏览器接受和执行，而通过其他协议（如HTTPS）传输的Cookie则会被忽略。如果被攻击者利用，可能会被泄漏服务器敏感信息，我们在服务器平台配置项目中增加此项配置。

系统配置->登陆配置->更多配置