关于银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明
原因
导致该漏洞的原因是执行系统根过滤器对请求的认证方法不充分。
解决办法
1、登录控制台,系统维护-配置管理
2、点击“com.toone.v3.platform-20mvc”
3、设置needCheckRefererHeader的,其他配置项根据需求设置。
关于Apache的说明:
如果服务的外层有Apache,请设置参数needCheckRefererHeader的值为false。
同时启用Apache自身的防盗链设置,具体方法可以参考:
检查配置文件中(\Apache2.4\conf\httpd.conf)的配置项:LoadModulerewrite_module modules/mod_rewrite.so,若该配置项被注释(#)则打开它;
添加如下自定义配置:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^
![RewriteCond %{HTTP_REFERER}!http://10.1.27.37:7080/ [NC] #v服务的地址
RewriteCond %{HTTP_REFERER} !http://10.1.27.37:9080/ [NC] #将需要排除过滤的站点以该方式添加,如Apache代理服务器
RewriteRule (.*)](https://juejin.cn/equation?tex=RewriteCond%20%25%7BHTTP_REFERER%7D!http%3A%2F%2F10.1.27.37%3A7080%2F%20%5BNC%5D%20%23v%E6%9C%8D%E5%8A%A1%E7%9A%84%E5%9C%B0%E5%9D%80%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20!http%3A%2F%2F10.1.27.37%3A9080%2F%20%5BNC%5D%20%23%E5%B0%86%E9%9C%80%E8%A6%81%E6%8E%92%E9%99%A4%E8%BF%87%E6%BB%A4%E7%9A%84%E7%AB%99%E7%82%B9%E4%BB%A5%E8%AF%A5%E6%96%B9%E5%BC%8F%E6%B7%BB%E5%8A%A0%EF%BC%8C%E5%A6%82Apache%E4%BB%A3%E7%90%86%E6%9C%8D%E5%8A%A1%E5%99%A8%0ARewriteRule%20(.*))
[F]
注:若通过域名访问,则需要将域名加上,配置方法同上,复制一行,修改为域名即可:RewriteCond %{HTTP_REFERER}!
www.xxx.xxx/ [NC]
原文链接:
www.yindangu.com/
