安全配置
1. 概述
安全配置用于管理独享版平台的外部集成安全与文件上传安全。通过合理配置,可以在保障安全的前提下,将平台嵌入第三方系统,并防止恶意文件通过上传漏洞进入平台。
独享版控制台「系统管理 > 安全配置」处支持以下两项配置:
- 允许被 iframe 集成:开启后,可将本平台通过 iframe 嵌入到其他网站中。
- 文件上传校验:开启后,系统将校验上传文件的格式是否被篡改,防止恶意脚本文件进入平台。
2. 允许被iframe集成
开启此功能后,外部网站可通过 iframe 将本平台页面嵌入其系统中,实现页面级集成。
2.1 协议与跨域限制
iframe 集成受浏览器安全策略约束,不同协议下的跨域行为存在差异:
- HTTP 协议:仅支持同域集成。即父页面与 iframe 页面必须属于同一域名,浏览器才允许正常加载与交互。
- HTTPS 协议:支持跨域集成。父页面与 iframe 页面可属于不同域名,浏览器允许跨域加载。
因此,如果需要将本平台嵌入到不同域名的第三方网站中,父页面与本平台均需使用 HTTPS 协议。若双方均使用 HTTP 协议,则只能在同一域名下进行集成。
2.2 操作步骤
1)登录独享版控制台,进入「系统管理 > 安全配置」页面。
2)在「允许被 iframe 集成」选项处,单击开关将其开启。
2.3 预期结果
开关开启后,外部网站可通过 iframe 标签加载本平台页面。
平台响应头中将添加允许 iframe 嵌入的相关安全头字段,浏览器不再阻止嵌入加载。
3. 文件上传校验
文件上传漏洞是指攻击者上传可执行的脚本文件,并通过该脚本获得执行服务器端命令的能力。常见场景是 Web 服务器允许用户上传图片或普通文本文件,而攻击者绕过上传机制上传恶意代码并执行,从而控制服务器。
文件上传校验功能通过校验上传文件的格式是否被篡改,防止此类安全风险。
3.1 操作步骤
1)登录独享版控制台,进入「系统管理 > 安全配置」页面。
2)在「文件上传校验」选项处,确认开关状态。默认为开启,如需关闭可单击开关将其关闭。
3)选择校验策略:
- 如需仅管控特定高风险格式,允许其他格式自由上传,选择「宽容策略」
- 如需严格限制上传格式,仅允许白名单中的格式,选择「严格策略」
3.2 预期结果
开启文件上传校验并配置策略后,用户上传文件时系统将自动进行格式校验:
- 宽容策略下,仅校验以下列表中的文件类型是否被篡改,不在列表中的文件直接放行
- 严格策略下,仅允许以下列表中的文件类型上传,不在列表中的文件将被拒绝
类别 | 格式 |
图片 | jpg、jpeg、png、bmp、gif、tif、dwg |
文档 | doc、docx、xls、xlsx、ppt、pptx、pdf、ofd |
WPS 系列 | wps、et、dps |
压缩包 | zip、rar、gz、jar |
字体 | ttf、ttc |
音视频 | mp4、mp3、mov、avi、wav |
400-111-0890
在线咨询