• Spring MVC 如何防止XSS、SQL注入攻击


    在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:
    
      在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原
    
      在显示的时候对非法字符进行转义
    
      如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。
    
      附:Javascript方法:
    
      String.prototype.escapeHTML = function () {
    
      return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/
    
      }
    
      如果项目已经开发完成了,又不想大批量改动页面的话,可以采用第一种方法,此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils
    
      public class StringEscapeEditor extends PropertyEditorSupport {
    
      private boolean escapeHTML;
    
      private boolean escapeJavaScript;
    
      private boolean escapeSQL;
    
      public StringEscapeEditor() { super(); }
    
      public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {
    
      super();
    
      this.escapeHTML = escapeHTML;
    
      this.escapeJavaScript = escapeJavaScript;
    
      this.escapeSQL = escapeSQL;
    
      }
    
      @Override
    
      public void setAsText(String text) {
    
      if (text == null) {
    
      setValue(null);
    
      } else {
    
      String value = text;
    
      if (escapeHTML) { value = StringEscapeUtils.escapeHtml(value); }
    
      if (escapeJavaScript) { value = StringEscapeUtils.escapeJavaScript(value); }
    
      if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); } setValue(value); }
    
      }
    
      @Override
    
      public String getAsText() { Object value = getValue(); return value != null ? value.toString() : “”; }
    
      }
    
      在使用StringEscapeUtils时需要注意escapeHtml和escapeJavascript方法会把中文字符转换成Unicode编码,如果通过标签或者EL表达式展示时,能够正确还原,但是如果使用类似于Ext这样的前端组件来展示这部分内容时,不能正常还原,这也是我为什么放弃了第一种方法,直接使用第二种方法的原因。
    
      在上面我们做了一个EscapeEditor,下面还要将这个Editor和Spring的Controller绑定,使服务器端接收到数据之后能够自动转移特殊字符。
    
      下面我们在@Controller中注册@InitBinder
    
      @InitBinder
    
      public void initBinder(WebDataBinder binder) {
    
      binder.registerCustomEditor(String.class, new StringEscapeEditor(false, false, false));
    
      }
    
      这个方法可以直接放到abstract Controller类中,这样子每个Controller实例都能够拥有该方法。至此第二种方法完成,但是在还原的方法暂时还没有。O(∩_∩)O…


    原文博主:http://blog.sina.com.cn/s/blog_7a9c22c701018cy8.html
  • 相关阅读:
    Android Lint简介
    免费HTTP数据抓包Fiddler2[4.6.1.2]以及显示中文包内容的方法
    IE6、7下bug
    图表插件
    学习:使用svg
    jQuery Transit
    jQuery基础学习笔记(1)
    HTTP协议详解学习
    html5学习笔记
    html释疑
  • 原文地址:https://www.cnblogs.com/huzi007/p/3695963.html
Copyright © 2020-2023  润新知