steedos-platform issues

[Task]: 字段布局功能改进

### SubTasks 子任务 - [x] 增加字段布局微页面，并做好初始化 - [x] 修改steedos-field组件，支持设计器内各项配置 - [x] 实现保存功能，字段属性回存到对象中 - [ ] 增加steedos-object-form2.0

tujiajun

[Bug]: 列表上的快速编辑按钮，鼠标滑过时界面晃来晃去

### Description 如题 ### Steps To Reproduce 重现步骤如题 ### Version 版本 2.7.1

hotlong

bug

priority: High

华炎魔方:应用弹出选择改为先显示下拉菜单

- [ ] 应用弹出选择改为先显示下拉菜单，点击更多再弹出窗口，现在切换不方便

hotlong

priority: High

[Bug]: 选择框类型字段数据类型是布尔，编辑时和搜索时显示不一致

### Description ![image](https://github.com/steedos/steedos-platform/assets/6194896/2601b32e-bb5f-47e3-9ffb-8e5ed307154c) ### Steps To Reproduce 重现步骤如图 ### Version 版本 2.7

sunhaolin

bug

priority: High

[Bug]: objectql insert 后不返回 _id 对象， comany 触发器里面， afterInsert 自动创建 orgnazation部分，新增完了之后不返回orgId

2

### Description ![image](https://github.com/steedos/steedos-platform/assets/25192306/8f19219a-b18d-4a8b-9b7f-6db644ba726c) ### Steps To Reproduce 重现步骤 1、中控台创建 “我的魔方”过程中出现，错误位置 saas_space__c的trigger中会自动创建company 2、可以手工模拟测试，objectql.getObject('company').insert({....}); 创建时orgnazation自动不提供任何值，会触发自动创建orgnazation debug时报错截图： ![image](https://github.com/steedos/steedos-platform/assets/25192306/8f19219a-b18d-4a8b-9b7f-6db644ba726c) 3、问题很奇怪，断点设置在108行，在还没执行108 行函数的情况下，如图无论是debug获取orgId，还是109行执行后异常日志中显示，orgId值都是{}。但只要修复109行 ognazation的赋值为 orgId._id ，上方108行orgId值为{}的问题会自己消失恢复。同样断点在108行未执行的情况下，debug获取orgId的值正常为 {_id: 'xxxx',name: 'xxxxxx', ....} 字段内容完整 ### Version 版本 2.6

hwzero

done

[Bug]: 安全问题：平台没有对cors进行限制，易造成敏感信息泄露

2

### Description 平台没有对cors进行限制，攻击者修改请求报文的 Origin：值比如www.baidu.com后，平台响应Access-Control-Allow-Origin跟着变成www.baidu.com ，并且Access-Control-Allow-Credentials：为true ，容易引起用户cookies内敏感信息泄露修复建议： 1. 增加平台可以cors访问的白名单配置项 ### Steps To Reproduce 重现步骤 1. 攻击者修改请求报文的 Origin：值比如www.baidu.com后，请求平台正常页面或接口 ![image](https://github.com/steedos/steedos-platform/assets/25192306/8cf48cf8-42cc-403c-9d78-12331aa80aff) 3. 平台响应Access-Control-Allow-Origin跟着变成www.baidu.com ，并且Access-Control-Allow-Credentials：为true ， ![image](https://github.com/steedos/steedos-platform/assets/25192306/613b95d2-71c9-463a-9170-a2f92ea350fe) 4. 攻击者可以在构造微页面，在微页面中访问baidu网站，由于cors头部已允许访问baidu.com 并且Access-Control-Allow-Credentials：为true，这个请求会把用户cookies信息一起带上发送给baidu.com...

hwzero

bug

done

[Bug]: 安全问题X-Acess-Token为jwt格式，含用户信息，存在敏感信息泄露风险

1

### Description X-Acess-Token 作为用户登录的一个凭证，采用jwt格式没有问题，但是jwt的第二部分base64 解码后可以直接得到用户信息，即使此token已经过期失效，但是仍然可以直接通过通过对此token解码获取到用户的手机号、邮箱等完整信息修复建议：第二部分不要存放个人信息，只放一个唯一hash值就行了。或者一定要放，建议加密后再进行jwt 签名打包 ### Steps To Reproduce 重现步骤 1. 正常登录 2. 查看cookies中的X-Acess-Token信息 3. 使用base64对第二部分内容解码 ### Version 版本 2.5~2.7

hwzero

bug

done

[Bug]: 列表视图显示条目数不生效

1

### Description 列表视图显示条目数不生效 ### Steps To Reproduce 重现步骤 1.配置列表视图显示条目数 2.查看列表视图，发现未显示条目数 ### Version 版本 2.6.8

RussellMao

priority: Next

[Bug]: npm start failed【macpro 10.15 catalina】

### Description after npm install dependency, i run npm start command, stdout error info is: ➜ steedos-platform2 git:(master) ✗ npm start > steedos-platform@ start /Users/xxx/code/steedos-platform2 > steedos start --config steedos.config.js...

robin-fei

bug

priority: High

[Bug]: 累计汇总金额有误

### Description 汇总数据有误 ### Steps To Reproduce 重现步骤 ![image](https://github.com/steedos/steedos-platform/assets/7665279/0e1aa93c-ac22-49f9-b2cb-01fb7d2129ea) ![image](https://github.com/steedos/steedos-platform/assets/7665279/0aba6b7a-5b5d-439f-920c-fe02b1aa9b09) 发票总金额为累计汇总发票金额 ### Version 版本 2.7.、

huangyiirene

bug

priority: High

steedos-platform
steedos-platform copied to clipboard

Metadata

[Task]: 字段布局功能改进

[Bug]: 列表上的快速编辑按钮，鼠标滑过时界面晃来晃去

华炎魔方:应用弹出选择改为先显示下拉菜单

[Bug]: 选择框类型字段数据类型是布尔，编辑时和搜索时显示不一致

[Bug]: objectql insert 后不返回 _id 对象， comany 触发器里面， afterInsert 自动创建 orgnazation部分，新增完了之后不返回orgId

[Bug]: 安全问题：平台没有对cors进行限制，易造成敏感信息泄露

[Bug]: 安全问题X-Acess-Token为jwt格式，含用户信息，存在敏感信息泄露风险

[Bug]: 列表视图显示条目数不生效

[Bug]: npm start failed【macpro 10.15 catalina】

[Bug]: 累计汇总金额有误

← Metadata

Owner

Metadata

steedos-platform steedos-platform copied to clipboard

Metadata

← Metadata

Owner

Metadata

steedos-platform
steedos-platform copied to clipboard