行動端安全加固手冊- FineReport帮助文档 - 全面的报表使用教程和学习资料

1. 概述

1.1 版本

報表伺服器版本	App 版本
11.0	V11.0

1.2 應用場景

為了提升產品的安全性，本文整理了正式工程中行動端應當開啟的相關安全設定，可參照本文對工程進行安全加固。

注：參照本文進行安全配置後，部分功能會有影響，主要面向安全訴求更高的客戶。

2. 登入安全

管理者進入「管理系統>系統管理>登入」模組。

序號	相關配置	說明	操作步驟圖示
1	單一登入（可選）	作用：限制帳號同時只能在一處登入建議開啟，如果有多使用者共用帳號需求可關閉
2	登入逾時時間	作用：無操作 X 分鐘後對話失效建議配置為 10 分鐘
3	密碼策略設定	作用：增加密碼破解的難度前提條件：先確認「使用者管理」是否使用平台內建認證方式，是則做相關配置，否則認證功能安全性由客戶自己的認證系統保證無需配置建議勾選以下配置：設定密碼強度策略（推薦密碼長度8位，包含數字、大小寫字母、符號）設定初始密碼強制修改設定定期修改密碼設定修改密碼驗證方式開啟初始密碼強制修改開啟歷史密碼重複校驗
4	開啟簡訊和郵件驗證（可選）	條件具備建議開啟「簡訊驗證」和「信箱驗證」，進而能夠開啟以下功能：忘記密碼修改密碼登入驗證	參考說明文檔：修改密碼驗證方式
5	範本認證	開啟範本認證認證方式：建議選擇「僅認證帳號密碼」，如果可配置具體範本權限的話建議選擇「角色權限認證」，然後對範本和使用者進行具體的權限配置

3. 系統安全

管理者進入「系統管理>安全管理」模組。

序號	相關配置	說明	操作步驟圖示
1	開啟 Security Headers 及進階設定	「Security Headers」，安全頭系列設定，開啟後將給請求頭附加 HTTP Security Headers 屬性，阻止漏洞攻擊	詳情請參考文檔：安全防護
2	開啟檔案上傳校驗	開啟後對填報及平台外觀配置中上傳檔案的後綴和大小進行校驗允許上傳白名單中的檔案類型包括：jpg , jpeg , gif , bmp , png , pdf , doc , docx , ppt , pptx , xls , xlsx , zip
3	腳本呼叫公式限制	JS 腳本中有些公式存在安全風險，開啟後將限制腳本中有風險的共識呼叫
4	開啟 Token 認證增強	伺服器增加IP校驗：IP相同則自動放行；IP不同則識別為新的用戶端，自動跳轉到登入頁，需要重新登入
5	SQL 防注入	SQL 防注入功能，針對範本發出的參數請求進行攔截。可實現：禁用特殊關鍵字防止 SQL 注入透過字元轉義防止 SQL 注入
6	存取控制	開啟後，可以對一定時間內的存取次數進行限制，超出則拉入黑名單，無法再進行資源存取，可有效緩解異常存取，爬蟲爬取和 CC 攻擊的情況
7	水印設定（可選）	水印是一種防止資料公佈的有效方式：在內部員工截圖或者匯出相關資料時，可以提醒員工這是絕密資料，禁止外傳在員工公佈內部資料後，方便企業追查責任人和泄漏源	詳情請參考文檔：水印設定

4. 安全插件

序號	插件	說明
1	XSS過濾器	以有效解決XSS注入的安全問題詳情請參考文檔：XSS過濾器插件
2	PUT、DELETE請求轉成POST	部分使用者環境禁用了 PUT、DELETE 請求，導致平台一些請求不正常使用者可透過安裝「PUT、DELETE請求轉成POST」插件，將 PUT、DELETE 請求轉成 POST 請求詳情請參考文檔：PUT、DELETE請求轉成POST插件
3	安全加固	安裝後，資料連結處的 SQL驗證查詢功能不可用、不可新增 JNDI資料連結、水印設定禁用部分函式、日誌管理處的手動清理日誌功能被遮蔽。但是對於被爆破了賬密的系統能有效提升伺服器安全性

序號

插件

說明

XSS過濾器

以有效解決XSS注入的安全問題

詳情請參考文檔：XSS過濾器插件

PUT、DELETE請求轉成POST

部分使用者環境禁用了 PUT、DELETE 請求，導致平台一些請求不正常

使用者可透過安裝「PUT、DELETE請求轉成POST」插件，將 PUT、DELETE 請求轉成 POST 請求

詳情請參考文檔：PUT、DELETE請求轉成POST插件

安全加固

安裝後，資料連結處的 SQL驗證查詢功能不可用、不可新增 JNDI資料連結、水印設定禁用部分函式、日誌管理處的手動清理日誌功能被遮蔽。但是對於被爆破了賬密的系統能有效提升伺服器安全性

5. 安全選項

詳情請參考文檔：資料庫安全選項開啟。

序號	相關配置	參數	說明
1	API遮蔽版本資訊回应	SystemConfig.hideVersion	true：系統資訊API不傳回版本資訊
2	token 不在 websocket 的 url 中傳輸	WebSocketConfig.webSocketTokenInHeader	socket 通訊 token 傳遞方式。 true：token 從請求頭傳輸預設false：token 從 url 傳輸
3	插件完整性校驗	PluginFileValidateConfig.fileValidateOpen	本地安裝/手動安裝插件時，為了防止惡意篡改插件包中的程式碼，2021.11.24 及之後的版本，提供插件完整性校驗功能。該功能預設關閉。true：配置後開啟

序號

相關配置

參數

說明

API遮蔽版本資訊回应

SystemConfig.hideVersion

true：系統資訊API不傳回版本資訊

token 不在 websocket 的 url 中傳輸

WebSocketConfig.webSocketTokenInHeader

socket 通訊 token 傳遞方式。

true：token 從請求頭傳輸
預設false：token 從 url 傳輸

插件完整性校驗

PluginFileValidateConfig.fileValidateOpen

本地安裝/手動安裝插件時，為了防止惡意篡改插件包中的程式碼，2021.11.24 及之後的版本，提供插件完整性校驗功能。該功能預設關閉。true：配置後開啟

6. 行動端安全

6.1 資料分析 App 安全

序號	相關配置	說明
1	裝置綁定	透過裝置綁定功能，對帳號登入的裝置進行授權綁定後，帳號只能在指定裝置上登入，裝置更換或遺失時，管理者也可以即時解除原有綁定，避免安全隱患
2	手勢密碼	除標準帳號密碼登入之外，App 提供手勢密碼進行身分驗證，保護隱私資料
3	內外網隔離	支援 VPN 建立與企業內網的可信安全連結，解決使用者遠端接入程式中終端、接入、鏈路等環節的安全問題 App 內嵌了深信服 VPN，支援代理伺服器配置，實現行動端外網存取，實現內外網隔離場景
4	Activity 劫持保護	保障用戶端運作安全，核心是對 Activity 的劫持保護 App 如果發現登入頁 Activity 被劫持，會彈出提示，防止被惡意攻擊者更換上仿冒的惡意 Activity 介面進行攻擊和非法用途
5	iOS 後台快照模糊	程式切換至後台時，iOS模糊後台快照

6.2 OEM App 安全

詳細功能說明請參考文檔：App 打包。

已經是第一篇

已經是最後一篇

有幫助
沒幫助
只是瀏覽
圖片不清晰
用語看不懂
功能說明看不懂
操作說明太簡單
內容有錯誤

中文（简体） English 日本語

中文（繁體）

行動端安全加固手冊