-
Choerodon平台版本:0.15.0
-
运行环境(如localhost或k8s):localhost
-
遇到问题时的前置条件:
-
问题描述:
猪齿鱼有以下功能吗?
一、系统安全:
1.预防SQL注入攻击
2.预防跨站脚本攻击(XSS)
二、审计
1.用户
2.数据库
1、有关sql 注入问题,猪齿鱼使用的是MyBatis,MyBatis启用了预编译功能,在SQL执行前,会先将SQL发送给数据库进行编译。执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以可以避免SQL注入的问题。
2、有关跨域攻击,可以在api-gateway 设置 CHOERODON_GATEWAY_ALLOWED_ORIGIN: '*' 配置允许的域名访问。
3、目前用户审计只包含用户登录的记录。
4、数据库中所有的表都带有created_by,creation_date,last_updated_by,last_last_update_date 四个字段,用于审计。
CHOERODON_GATEWAY_ALLOWED_ORIGIN 可以配置ip吗?