Thiết lập Cross-Site
Đây là chức năng phát triển lên từ chức năng Thiết lập CORS ở các phiên bản trước. Theo đó, chức năng này vừa là phần cấu hình giúp thiết lập quyền cho các truy vấn CORS vừa là chức năng chống tấn công CSRF.
Để truy cập chức năng này quản trị tiến hành truy cập vào admin control panel di chuyển đến khu vực Cấu hình => Thiết lập an ninh => Thiết lập Cross-Site, tại đây tiến hành tinh chỉnh các thông số như sau
- Bảo vệ ngoài site: Chọn mục này để chặn truy vấn CORS và các truy vấn POST từ bên ngoài đến khu vực người dùng.
- Tên miền hợp lệ ngoài site: Nhập mỗi tên miền một dòng, có phân biệt giao thức, host và cổng. Nếu chức năng bảo vệ ngoài site được kích hoạt, các truy vấn CORS và POST từ các tên miền này được phép thực hiện.
- IP hợp lệ ngoài site: Nhập mỗi IP 1 dòng, nếu chức năng bảo vệ ngoài site được kích hoạt thì truy vấn từ các IP này được phép thực hiện. Lưu ý: Cấu hình IP hợp lệ không áp dụng cho truy vấn CORS, thường áp dụng trong trường hợp website cấp phép API cho một site nào khác.
- Bảo vệ trong quản trị, Tên miền hợp lệ trong quản trị, IP hợp lệ trong quản trị: 3 mục này chức năng tương tự như trên nhưng áp dụng cho khu vực Admin Control Panel
Giới hạn tên miền được sử dụng ở một số thẻ HTML
Tại một số thẻ HTML embed, object, iframe được phép sử dụng trong trình soạn thảo, kẻ gian có thể chèn link đến một nội dung ở trang khác có chứa một số lệnh javascript đơn giản như Alert, Redirect (mặc định bị chặn nhưng kẻ gian có thể lừa người dùng bật lên) gây mất an toàn. NukeViet 4.4.01 bổ sung cấu hình cho phép giới hạn các tên miền được sử dụng tại các thẻ này.
Quản trị có thể thiết lập chức năng này tại mục Cấu hình => Thiết lập an ninh.
NukeViet 4.4.01 dự kiến sẽ được phát hành vào 16h00p ngày 13/06/2020.