hwzero
hwzero
##### 版本号: ##### 问题描述: ##### 错误日志&截图: ##### 重现步骤: #### 友情提示(为了提高issue处理效率): - 积木报表是一款免费报表产品,功能免费源码不开放; - 未按格式要求发帖,会被直接删掉; - 请针对问题提供[报表设计SQL脚本](http://report.jeecg.com/2376604)或在官网制作报表示例并提供ID; - 针对不好重现的问题,请录制操作视频或详细的重现步骤;
### Summary 摘要 系统自带的数据导入性能太差,平均1s只有20~30条数据。 导入逻辑中有些类似查询字段映射、主键映射之类的逻辑,应该提出来统一处理,而不是在每一行里面处理, 最终数据库操作建议使用批量而非一条条执行数据库插入/更新操作 ### Why should this be worked on? 此需求的应用场景? 性能太差,按照最大数据行限制5万条进行导入,需要整整10个小时,由于nodejs单线程处理特性,导入期间系统整理响应变慢,影响web端正常使用体验
### Description 微服务调用objectql.aggreate ,传入参数如图  到objectql 服务内  变成字符串形式,导致实际聚合查询无法匹配到满足时间范围的数据 ### Steps To Reproduce 重现步骤 微服务调用objectql.aggreate ,传入参数如图  到objectql 服务内  变成字符串形式,导致实际聚合查询无法匹配到满足时间范围的数据 ### Version 版本 2.5,2.6,2.7
### Description  ### Steps To Reproduce 重现步骤 1、新建对象 2、功能开关tab页勾选 “启用树状结构显示记录”  3、保存 4、预览,报错 ### Version 版本 2.6.6
### Description  ### Steps To Reproduce 重现步骤  ### Version 版本 2.6
### Description 1、当部门数量超过5000个时,部门树形显示错乱,(人员左侧的部门也错乱) 2、一次性加载部门会导致浏览器渲染卡住好几分钟,甚至奔溃,需要进行前端性能优化 ### Steps To Reproduce 重现步骤 1、当部门数量超过5000个时,部门树形显示错乱,(人员左侧的部门也错乱) 2、一次性加载部门会导致浏览器渲染卡住好几分钟,甚至奔溃,需要进行前端性能优化 ### Version 版本 2.6
### Description  ### Steps To Reproduce 重现步骤 1、中控台创建 “我的魔方”过程中出现,错误位置 saas_space__c的trigger中会自动创建company 2、可以手工模拟测试,objectql.getObject('company').insert({....}); 创建时orgnazation自动不提供任何值,会触发自动创建orgnazation debug时报错截图:  3、问题很奇怪,断点设置在108行,在还没执行108 行函数的情况下,如图无论是debug获取orgId,还是109行执行后异常日志中显示,orgId值都是{}。 但只要修复109行 ognazation的赋值为 orgId._id ,上方108行orgId值为{}的问题会自己消失恢复。同样断点在108行未执行的情况下,debug获取orgId的值正常为 {_id: 'xxxx',name: 'xxxxxx', ....} 字段内容完整 ### Version 版本 2.6
### Description 平台没有对cors进行限制,攻击者修改请求报文的 Origin:值比如www.baidu.com后,平台响应Access-Control-Allow-Origin跟着变成www.baidu.com ,并且Access-Control-Allow-Credentials: 为true ,容易引起用户cookies内敏感信息泄露 修复建议: 1. 增加平台可以cors访问的白名单配置项 ### Steps To Reproduce 重现步骤 1. 攻击者修改请求报文的 Origin:值比如www.baidu.com后,请求平台正常页面或接口  3. 平台响应Access-Control-Allow-Origin跟着变成www.baidu.com ,并且Access-Control-Allow-Credentials: 为true ,  4. 攻击者可以在构造微页面,在微页面中访问baidu网站,由于cors头部已允许访问baidu.com 并且Access-Control-Allow-Credentials: 为true, 这个请求会把用户cookies信息一起带上发送给baidu.com...
### Description X-Acess-Token 作为用户登录的一个凭证,采用jwt格式没有问题,但是jwt的第二部分base64 解码后可以直接得到用户信息,即使此token已经过期失效,但是仍然可以直接通过通过对此token解码获取到用户的 手机号、邮箱 等完整信息 修复建议: 第二部分不要存放个人信息,只放一个唯一hash值就行了。 或者一定要放,建议加密后再进行jwt 签名打包 ### Steps To Reproduce 重现步骤 1. 正常登录 2. 查看cookies中的X-Acess-Token信息 3. 使用base64对第二部分内容解码 ### Version 版本 2.5~2.7
### Description 安全问题:graphql操作保存对象数据时,未校验数据信息,存在XSS漏洞 修复建议: 1. ApiGateway统一对请求信息进行过滤,对容易引发XSS的内容的字符进行转义处理 2. 对于cookies这种重要内容,下发时设置secure 属性和 httpOnly属性,防止XSS代码直接访问其中的敏感信息 ### Steps To Reproduce 重现步骤 举例: 1. 公告->编辑 4. 对标题进行修改,填写  5. 保存后查看 6. 图片标签加载失败触发 onerror部分的回调函数  ### Version 版本...