关于银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明

关于银弹谷V-DevSuite零代码开发平台V3.x版本执行系统出现跨站点请求伪造漏洞的说明
原因
导致该漏洞的原因是执行系统根过滤器对请求的认证方法不充分。
解决办法
1、登录控制台，系统维护-配置管理

2、点击“com.toone.v3.platform-20mvc”

3、设置needCheckRefererHeader的，其他配置项根据需求设置。
关于Apache的说明：
如果服务的外层有Apache，请设置参数needCheckRefererHeader的值为false。
同时启用Apache自身的防盗链设置，具体方法可以参考：
检查配置文件中（\Apache2.4\conf\httpd.conf）的配置项：LoadModulerewrite_module modules/mod_rewrite.so，若该配置项被注释（#）则打开它；
添加如下自定义配置：
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER}!http://10.1.27.37:7080/ [NC] #v服务的地址
RewriteCond %{HTTP_REFERER} !http://10.1.27.37:9080/ [NC] #将需要排除过滤的站点以该方式添加，如Apache代理服务器
RewriteRule (.*)$ [F]
注：若通过域名访问，则需要将域名加上，配置方法同上，复制一行，修改为域名即可：RewriteCond %{HTTP_REFERER}!http://www.xxx.xxx/ [NC]