Fecshop 1.6.0.0 发布 - fecshop的完善和安全又上一个新的台阶
经过了一个月左右的时间,进行了一系列的开发和调整,fecshop后台部分进行了底层调整,加入了RBAC权限控制,
加入了多语言,加入了csrf(跨站请求伪造),防范csrf攻击,增强安全性,前后台也加入了csrf攻击防范,另外修复了一系列的bug和底层的调整。
1.后台权限控制功能, RBAC
发布,以及bug的处理。
后台菜单的详细参看:http://www.fecshop.com/doc/fecshop-guide/instructions/cn-1.0/guide-fecshop_admin_rbac.html
2.后台支持多语言
,默认英语,目前只有中文和英文两种语言。
3.后台的涉及到的post请求,都加入csrf
,防范csrf
攻击
关于csrf的分析: http://www.fecshop.com/topic/1545
4.customer password 生成的安全级别改为6
,进而减少注册用户生成加密密码的时间
5.后台部分,将存在于fecadmin包的部分后台功能,全部在fecshop appadmin中进行了重新实现,方便用户二开后台
6.fix bug: xunsearch中文搜索,price
不能过滤产品的bug
7.appfront 和 apphtml5,全面加入csrf
,防范csrf
攻击,对于appserver端,token是在header中传递,因此不会存在csrf漏洞
关于csrf的分析: http://www.fecshop.com/topic/1545
8.image services, 图片resize
,加入压缩质量比
的可配置参数,可以在images services
的配置中更改,来设置分类等页面图片显示的质量比,数值越高,压缩质量越高,图片文件越大,可以根据自己的情况折中设置
9.分分类页面: 设置开关项,控制产品的一个spu下的多个sku是否只显示一个sku,可以在product services 中配置,有相关需求的可以通过配置文件设定选择哪种方式。
10.错误处理 helper errors services
,存在动态变量
的多语言方式调整
11.fix bug: if product attribute is china string, and filter in category, category page will error
12.appserver cors
部分调整,通过appserver helper services配置获取,从而可以通过config文件配置
,原来的cors的设置为'Origin' => ['*'],
,存在跨站csrf风险
13.后台xheditor
图片上传,接收地址进行了解耦,通过admin services中获取上传的url,可以通过配置文件更改的方式,更改后台编辑器图片上传的controller。
14.fix bug:后台列表checkbox
全选中和取消选中,重复点几次会失效的bug
1.6.0.0,详细的代码提交:https://github.com/fecshop/yii2_fecshop/commits/master