欢迎光临企业官网建站网站,提供自助建设系统平台服务

企业官网建站

专业为公司品牌推广建设网站

银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明

作者:jcmp      发布时间:2021-04-18      浏览量:0
关于银弹谷V-DevSuite

关于银弹谷V-DevSuite 零代码开发 平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明。

原因

导致该漏洞的原因是执行系统根过滤器对请求的认证方法不充分。

解决办法

1、登录控制台,系统维护-配置管理

2、点击“com.toone.v3.platform-20mvc”

3、设置needCheckRefererHeader的,其他配置项根据需求设置。

关于Apache的说明:

如果服务的外层有Apache,请设置参数needCheckRefererHeader的值为false。

同时启用Apache自身的防盗链设置,具体方法可以参考:

检查配置文件中(\Apache2.4\conf\httpd.conf)的配置项:LoadModulerewrite_module modules/mod_rewrite.so,若该配置项被注释(#)则打开它;

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER}!http://10.1.27.37:7080/ [NC] #v服务的地址。

RewriteRule (.*)$ [F]

注:若通过域名访问,则需要将域名加上,配置方法同上,复制一行,修改为域名即可:RewriteCond %{HTTP_REFERER}!http://www.xxx.xxx/ [NC]