安全需求问题

  • Choerodon平台版本:0.15.0

  • 运行环境(如localhost或k8s):localhost

  • 遇到问题时的前置条件:

  • 问题描述:
    猪齿鱼有以下功能吗?
    一、系统安全:
    1.预防SQL注入攻击
    2.预防跨站脚本攻击(XSS)

二、审计
1.用户
2.数据库

1、有关sql 注入问题,猪齿鱼使用的是MyBatis,MyBatis启用了预编译功能,在SQL执行前,会先将SQL发送给数据库进行编译。执行时,直接使用编译好的SQL,替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用,所以可以避免SQL注入的问题。
2、有关跨域攻击,可以在api-gateway 设置 CHOERODON_GATEWAY_ALLOWED_ORIGIN: '*' 配置允许的域名访问。
3、目前用户审计只包含用户登录的记录。
4、数据库中所有的表都带有created_by,creation_date,last_updated_by,last_last_update_date 四个字段,用于审计。

CHOERODON_GATEWAY_ALLOWED_ORIGIN 可以配置ip吗?

可以,不过CHOERODON_GATEWAY_ALLOWED_ORIGIN 只允许配置单个域名或ip