金蝶云星空标准版-安全配置指南

金蝶云星空标准版安全配置指南金蝶软件（中国）有限公司2018年4月金蝶云星空安全配置指南-PAGE1-目录1 概述 11.1 目标 11.2 配置方案 11.2.1 XXX配置内容 11.2.2 拦截XSS攻击配置：配置内容 11.2.3 保护Cookie的安全设置配置内容 21.2.4 防止网站被别的站点iframe嵌套配置内容 31.2.5 隐藏堆栈信息配置内容： 31.2.6 Sql注入拦截配置内容 41.2.7 防止上传目录文件泄露配置内容 41.2.8 上传文件白名单设置配置内容 51.2.9 反向代理实现HTTPS->http映射配置内容 51.2.10 IIS版本号在请求响应头中泄漏配置内容 51.2.11 IIS中关闭Options谓词方法配置内容 51.2.12 Silverlight的跨域访问配置问题的配置内容 61.2.13 Sql脚本加密传输 7-PAGE7-概述目标本文档主要知道金蝶云星空通过产品上的部署和加强，提升产品的安全防护能力，尤其建议金蝶云星空私有云部署人员参考此文档进行配置配置方案XXX配置内容如何配置◎:表示在启用工作流时才是必备的组件拦截XSS攻击配置：配置内容1、在Common.config中的<appSettings>节点下增加并启用输入数据拦截规则参数<addkey="IsInputBlock"value="True"/>参数；2、在Common.config中的<packageConfig>节点下添加输入数据文本黑名单拦截规则配置如下：<textBlockRules><!--启用拦截规则参数由Appsettings.IsInputBlock控制，输入数据拦截，拦截点：1、所有服务端输入参数；2、HTML客户端文本录入；--><!--这里的所有value必须符合正向搜索正则表达式，表达式内容必须经过base64编码；--><!--\<(\s){0,}(\/){0,}(\s){0,}script\>--><addkey="Script_In_Bracket"value="XDwoXHMpezAsfShcLyl7MCx9KFxzKXswLH1zY3JpcHRcPg=="/><!--\W{0,}document\.cookie[\.\;]{1,}--><addkey="document_cookie"value="XFd7MCx9ZG9jdW1lbnRcLmNvb2tpZVtcLlw7XXsxLH0="/><!--\<\s{0,}iframe--><addkey="iframe"value="XDxcc3swLH1pZnJhbWU="/><!--\<[^(\?xml)][^\>^\<]+\=[^\>^\<]+[^\?]\>--><addkey="caller_in_Point_Bracket"value="XDxbXihcP3htbCldW15cPl5cPF0rXD1bXlw+Xlw8XStbXlw/XVw+"/></textBlockRules>3、同时在<appSettings>启用压缩参数，避免误拦截,如下：<!--启用HTTP请求压缩--><addkey="SL_Http_Compressed"value="true"/>保护Cookie的安全设置配置内容1、在Web.Config的<system.web>节点下添加配置选项<httpCookieshttpOnlyCookies="true"/>，httpCookies选项解决cookie的httponly和secure参数的控制,secure只能在https协议下配置；2、也可以在Common.config文件中的<appSettings>节点下配置安全cookie参数如下：<addkey="IsSecureCookie"value="True"/>防止网站被别的站点iframe嵌套配置内容在Web.Config中的<system.webserver>节点下配置x-frame-options选项；<!--增加HTTP协议参数--><httpProtocol><customHeaders><!--避免了点击劫持(clickjacking)的攻击。Value:DENY,SAMEORIGIN,ALLOW-FROM--><!--<addname="X-Frame-Options"value="SAMEORIGIN"/>--></customHeaders></httpProtocol>复制代码例外：但是x-Frame-options的支持受浏览器的限制，在部分浏览器是支持不了的。可以参考微软文档。/ieinternals/2010/03/30/combating-clickjacking-with-x-frame-options/隐藏堆栈信息配置内容：1、通过在Common.config里面的<appSettings>节点下添加StackTraceLevel参数为，并设置为0，实现在界面上的错误提示仅提示错误编码；<addkey="StackTraceLevel"value="0"/>2、参数说明：2.1、业务级别下StackTrackLevel=0，仅展示错误信息和编码，服务端的Log日志中可以按错误编码找到完整堆栈信息；2.2、程序级别下StackTrackLevel=100，展示所有错误信息和编码，以及堆栈信息；Sql注入拦截配置内容1、通过在Common.config里面的<appSettings>节点下添加以下节点；<!--Sql关键字--><addkey="SqlKeys"value="select|insert|delete|from|drop|update|count|chr|char|mid|truncate|exec|netuser|or|and|xp_cmdshell"/><!--脚本关键字--><addkey="ScriptKeys"value="&|"|>|<"/>(这里要做html转码，论坛原因需要去掉&后的空格使用)2、用Administrator登录系统，在【参数设置】功能下，选择【基础管理-BOS平台】分组，勾选【启用脚本关键字合法性验证】和【启用Sql关键字合法性验证】选项；防止上传目录文件泄露配置内容1、在IIS的站点目录下，配置【处理程序映射】功能中添加【添加托管处理程序】；2、录入请求路径：FileUploadServices/UploadFiles/*.*；类型录入Kingdee.BOS.Web.FileServer.Download,Kingdee.BOS.Web；3、如下图：添加托管处理程序上传文件白名单设置配置内容1、通过在Common.config里面的<appSettings>节点下添加以下节点；<addkey="UploadWhiteList"value="txt,pdf,doc,docx,xls,xlsx,ppt,pptx,rft,jpg,png,bmp,gif,jpeg,rar,zip,dat,key,msg,cad,btw,avi,rmvb,wps,et,dps,vsd"/><addkey="DocSuffix"value="doc|docx|xls|xlsx|pdf|ppt|pptx|txt|wps|rtf|et|dps|vsd"/><addkey="ImageSuffix"value="jpeg|jpg|png|gif|bmp|cur"/><addkey="VideoSuffix"value="wmv|avi|swf|wav|mpeg|aif|mdi|mpg|rmvb|flv|mkv"/><addkey="PackageSuffix"value="kdpkg"/>复制代码2、即可实现上传文件白名单功能；反向代理实现HTTPS->http映射配置内容1、通过反向代理实现公网443->私网80的映射；2、在反向代理服务器上设置Request的header参数X-Forwarded-Proto=https即可；3、安装6.x最新补丁，或者7.x的最新补丁；4、或者参考【/forum.php?mod=viewthread&tid=1230817】的【问题7】;IIS版本号在请求响应头中泄漏配置内容按照微软官方文档配置即可去掉版本号；参考：./varunm/2013/04/23/remove-unwanted-http-response-headers/其他参考：/dudu/p/iis-remove-response-readers.html/read/535787.html?page=eIIS中关闭Options谓词方法配置内容在IIS中，选择根节点或者具体网站，然后在右侧的功能中选择【请求筛选】-->【HTTP谓词】-->右键添加【拒绝谓词】-->输入【OPTIONS】，然后确定即可Silverlight的跨域访问配置问题的配置内容详细可以参考微软的文档：/zh-cn/library/cc645032允许以下三种不同类型的通配符：1、单独的"*"通配符。此选项用于允许访问同一方案的所有域。HTTP服务将允许所有HTTP调用方。HTTPS服务将允许所有HTTPS调用方。2、"http://*"文本通配符。此选项显式允许所有HTTP调用方，即使该调用方是HTTPS服务也允许。它几乎总是安全错误HTTPS服务允许HTTP调用，因为这将允许不受信任的代码注入到合法服务中（中间人攻击中的中间人）和通过HTTPS协议保护其安全的访问数据中。3、子域通配符。此选项在路径的第一部分使用一个通配符（例如"http://*."），从而允许指定的域的所有子域。参考该例子。将允许和。请注意，不允许该通配符没有作为前缀出现（例如http://web.*.com）的uri路径。Silverlight策略文件允许使用跨域策略文件连接到HTTPS服务。当在策略中提供针对某一域元素的显式allow-from属性时，该域包括方案信息。下面是一个示例：<allow-from><domainuri=""></allow-from>).上面的策略将只允许使用HTTPS方案从进行的连接。针对金蝶云星空所需的外网访问站点可以增加如下domain节点：https://*