本文详细解释了银弹谷V-DevSuite零代码开发平台V3.x版本执行系统存在的跨站点请求伪造(CSRF)漏洞原因,该漏洞源于执行系统根过滤器的认证不足。解决方法包括登录控制台更新配置以及针对Apache服务器的额外安全设置,如启用防盗链并添加特定的Rewrite规则来阻止非法请求。
关于银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明
原因
导致该漏洞的原因是执行系统根过滤器对请求的认证方法不充分。
解决办法
1、登录控制台,系统维护-配置管理
2、点击“com.toone.v3.platform-20mvc”
3、设置needCheckRefererHeader的
,其他配置项根据需求设置。
关于Apache的说明:
如果服务的外层有Apache,请设置参数needCheckRefererHeader的值为false。
同时启用Apache自身的防盗链设置,具体方法可以参考:
检查配置文件中(\Apache2.4\conf\httpd.conf)的配置项:LoadModulerewrite_module modules/mod_rewrite.so,若该配置项被注释(#)则打开它;
添加如下自定义配置:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$<
关于银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
