金蝶云星空安全配置指南金蝶软件(中国)有限公司2018年4月金蝶云星空安全配置指南目录1概述..11.1目标..11.2配置方案..11.2.1XXX配置内容..11.2.2拦截XSS攻击配置:配置内容.11.2.3保护Cookie的安全设置配置内容.21.2.4防止网站被别的站点iframe嵌套配置内容.31.2.5隐藏堆栈信息配置内容:.31.2.6Sql注入拦截配置内容..41.2.7防止上传目录文件泄露配置内容.41.2.8上传文件白名单设置配置内容.51.2.9反向代理实现HTTPS->http映射配置内容.51.2.10IIS版本号在请求响应头中泄漏配置内容..51.2.11IIS中关闭Options谓词方法配置内容.51.2.12Silverlight的跨域访问配置问题的配置内容..61.2.13Sql脚本加密传输..7-1-金蝶云星空安全配置指南1概述1.1目标本文档主要知道金蝶云星空通过产品上的部署和加强,提升产品的安全防护能力,尤其建议金蝶云星空私有云部署人员参考此文档进行配置1.2配置方案1.2.1XXX配置内容如何配置◎:表示在启用工作流时才是必备的组件1.2.2拦截XSS攻击配置:配置内容1、在Common.config中的
节点下增加并启用输入数据拦截规则参数参数;2、在Common.config中的节点下添加输入数据文本黑名单拦截规则配置如下:-1-金蝶云星空安全配置指南3、同时在启用压缩参数,避免误拦截,如下:1.2.3保护Cookie的安全设置配置内容1、在Web.Config的节点下添加配置选项,httpCookies选项解决cookie的httponly和secure参数的控制,secure只能在https协议下配置;2、也可以在Common.config文件中的节点下配置安全cookie参数如下:-2-金蝶云星空安全配置指南1.2.4防止网站被别的站点iframe嵌套配置内容在Web.Config中的节点下配置x-frame-options选项;复制代码例外:但是x-Frame-options的支持受浏览器的限制,在部分浏览器是支持不了的。可以参考微软文档。https://blogs.msdn.microsoft.com/ieinternals/2010/03/30/combating-clickjacking-with-x-frame-options/1.2.5隐藏堆栈信息配置内容:1、通过在Common.config里面的节点下添加StackTraceLevel参数为,并设置为0,实现在界面上的错误提示仅提示错误编码;2、参数说明:2.1、业务级别下StackTrackLevel=0,仅展示错误信息和编码,服务端的Log日志中可以按错误编码找到完整堆栈信息;2.2、程序级别下StackTrackLevel=100,展示所有错误信息和编码,以及堆栈信息;-3-金蝶云星空安全配置指南1.2.6Sql注入拦截配置内容1、通过在Common.config里面的节点下添加以下节点;(这里要做html转码,论坛原因需要去掉&后的空格使用)2、用Administrator登录系统,在【参数设置】功能下,选择【基础管理-BOS平台】分组,勾选【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】选项;1.2.7防止上传目录文件泄露配置内容1、在IIS的站点目录下,配置【处理程序映射】功能中添加【添加托管处理程序】;2、录入请求路径:FileUploadServices/UploadFiles/*.*;类型录入Kingdee.BOS.Web.FileServer.Download,Kingdee.BOS.Web;3、如下图:添加托管处理程序-4-金蝶云星空安全配置指南1.2.8上传文件白名单设置配置内容1、通过在Common.config里面的节点下添加以下节点;复制代码2、即可实现上传文件白名单功能;1.2.9反向代理实现HTTPS->http映射配置内容1、通过反向代理实现公网443->私网80的映射;2、在反向代理服务器上设置Request的header参数X-Forwarded-Proto=https即可;3、安装6.x最新补丁,或者7.x的最新补丁;4、或者参考【http://club.kingdee.com/forum.php?mod=viewthread&tid=1230817】的【问题7】;1.2.10IIS版本号在请求响应头中泄漏配置内容按照微软官方文档配置即可去掉版本号;参考:.https://blogs.msdn.microsoft.com/varunm/2013/04/23/remove-unwanted-http-response-headers/其他参考:http://www.cnblogs.com/dudu/p/iis-remove-response-readers.htmlhttps://bbs.aliyun.com/read/535787.html?page=e-5-金蝶云星空安全配置指南1.2.11IIS中关闭Options谓词方法配置内容在IIS中,选择根节点或者具体网站,然后在右侧的功能中选择【请求筛选】-->【HTTP谓词】-->右键添加【拒绝谓词】-->输入【OPTIONS】,然后确定即可1.2.12Silverlight的跨域访问配置问题的配置内容详细可以参考微软的文档:https://msdn.microsoft.com/zh-cn/library/cc645032允许以下三种不同类型的通配符:1、单独的"*"通配符。此选项用于允许访问同一方案的所有域。HTTP服务将允许所有HTTP调用方。HTTPS服务将允许所有HTTPS调用方。2、"http://*"文本通配符。此选项显式允许所有HTTP调用方,即使该调用方是HTTPS服务也允许。它几乎总是安全错误HTTPS服务允许HTTP调用,因为这将允许不受信任的代码注入到合法服务中(中间人攻击中的中间人)和通过HTTPS协议保护其安全的访问数据中。3、子域通配符。此选项在路径的第一部分使用一个通配符(例如"http://*.contoso.com"),从而允许指定的域的所有子域。参考该例子。将允许http://web.contoso.com和http://mail.contoso.com。请注意,不允许该通配符没有作为前缀出现(例如http://web.*.com)的uri路径。Silverlight策略文件允许使用跨域策略文件连接到HTTPS服务。当在策略中提供针对某一域元素的显式allow-from属性时,该域包括方案信息。下面是一个示例:).上面的策略将只允许使用HTTPS方案从https://contoso.com进行的连接。针对金蝶云星空所需的外网访问站点可以增加如下domain节点:https://*.cmcloud.cn-6-金蝶云星空安全配置指南http://*.cmcloud.cnhttps://*.kingdee.comhttp://*.kingdee.comhttps://*.ik3cloud.comhttp://*.ik3cloud.comhttps://*.yunzhijia.comhttp://*.yunzhijia.com1.2.13Sql脚本加密传输在Common.config中的节点下增加并启用Sql脚本加密传输控制参数参数;此时所有通过访问SQLScriptService接口发送到服务端的Sql脚本都是加密文本,可防止窃取或者非法篡改Sql脚本。-7-
