积木报表 JimuReport v1.6.2-GA5版本发布—高

2023-09-11 本文已影响0人 JEECG

项目介绍

一款免费的数据可视化报表，含报表和大屏设计，像搭建积木一样在线设计报表！功能涵盖，数据报表、打印设计、图表报表、大屏设计等！

Web 版报表设计器，类似于excel操作风格，通过拖拽完成报表设计。

秉承“简单、易用、专业”的产品理念，极大的降低报表开发难度、缩短开发周期、节省成本、解决各类报表难题。

领先的企业级Web报表软件，采用纯Web在线技术，专注于解决企业报表快速制作难题。

当前版本：v1.6.2-GA5 | 2023-09-12

#升级内容

重点解决SQL漏洞被攻击等安全问题！本次版本进行了非常大重构，重构了权限机制并彻底重写了SQL执行逻辑，解决了SQL漏洞风险；并处理了上个版本已知严重Bug；

::: 重要的事情只说一遍，必须升级，不然你会被攻击 :::

#新版规则变化

1、多租户的配置方式变更为：saasMode

2、新增低代码开发模式 lowCodeMode：prod，完全禁止在线报表设计能力，彻底避免被攻击

3、默认报表预览地址必须带token，只能通过报表分享连接给他们访问报表

集成依赖

<dependency>
  <groupId>org.jeecgframework.jimureport</groupId>
  <artifactId>jimureport-spring-boot-starter</artifactId>
  <version>1.6.2-GA5</version>
</dependency>

最新依赖还未上传 maven 官仓，下载失败请先配置 JEECG的Maven私服。

#升级日志

#升级权限内容：通过以下几个维度保障报表安全

1、增加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode： prod
  发布模式下会关闭所有报表设计相关接口，普通用户只能访问报表不能做任何报表修改，彻底解决被攻击风险
  为了便于线上报表临时维护，拥有角色 "admin"、"lowdeveloper" 的用户，可以拥有设计权限

2、敏感接口，增加角色权限控制
  容易被攻击的敏感接口默认加了角色权限控制，拥有角色 "admin","lowdeveloper","dbadeveloper" 的用户，可以访问这些接口
  敏感接口如下：
  a、数据预览接口
  b、数据源连接测试是否准确接口

3、增加数据隔离配置 jmreport.saasMode:created
  线上发布请按照创建人或者租户实现数据隔离，保证他人数据安全
  created:按照创建人隔离、tenant:按照租户隔离

4、增加数据源安全配置 jeecg.jmreport.firewall.dataSourceSafe: true
  开启数据源安全后，不允许使用平台数据源、SQL解析加签并且不允许查询数据库

5、重写了sql参数拼接的写法，全部换成占位符方式，防止被攻入的可能
6、进一步加强了sql注入检查算法，通过深度解析SQL，检查是否存在攻击函数等

详细配置参数如下：

jeecg :
  jmreport:
    #多租户模式，默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增)
    saasMode: created
    # 平台上线安全配置(v1.6.2+ 新增)
    firewall:
      # 数据源安全 (开启后，不允许使用平台数据源、SQL解析加签并不允许查询数据库)
      dataSourceSafe: true
      # 低代码开发模式（dev:开发模式，prod:发布模式—关闭在线报表设计功能，分配角色admin、lowdeveloper可放开限制）
      lowCodeMode: prod

特殊场景