springMVC简单的安全防御配置
2016-04-02 20:31
507 查看
1,使用 spring form 标签
防 csrf 攻击
2,标明请求方法:RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE
如果不标明,默认以上所有请求类型都会接受处理(面太广),给黑客留下伪造请求的隐患。
3,防 XSS
1)web.xml中添加
2)在包含form的jsp页面中添加
<spring:htmlEscape defaultHtmlEscape="true" />
3)直接在form中的元素中添加
<form:input path="someFormField" htmlEscape="true" />
或
<form:form htmlEscape="true">
4)JSTL输出
防 csrf 攻击
2,标明请求方法:RequestMethod.GET,RequestMethod.POST, PATCH, POST, PUT, and DELETE
如果不标明,默认以上所有请求类型都会接受处理(面太广),给黑客留下伪造请求的隐患。
3,防 XSS
1)web.xml中添加
<context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-value> </context-param>
2)在包含form的jsp页面中添加
<spring:htmlEscape defaultHtmlEscape="true" />
3)直接在form中的元素中添加
<form:input path="someFormField" htmlEscape="true" />
或
<form:form htmlEscape="true">
4)JSTL输出
<c:out value="${formulario}" escapeXml="true" />默认
escapeXml
就为true 或 ${fn:escapeXml(param.nextUrl)}
相关文章推荐
- Java继承与组合
- eclipse或者AS链接手机真机之后,logcat里面日志信息乱跳
- eclipse或者AS链接手机真机之后,logcat里面日志信息乱跳
- java包装类、拆箱和装箱
- struts、hibernate、spring这三个框架和J2EE是什么关系?
- spring事务隔离级别
- Eclipse下Maven工程多模块继承和聚合的创建
- Java开发人员最常犯的10个错误
- 6 Java基础语法(二维数组,参数传递与数据加密问题)&面向对象(面向对象思想,类与对象及使用,对象内存图解)
- 第四章 springboot + swagger
- FATAL EXCEPTION: main 2. java.lang.NoSuchFieldError: R$id.r1
- 安卓开发中利用java代码修改控件位置
- java的两种同步方式, Synchronized与ReentrantLock的区别
- 《Thinking in Java》第五篇笔记 就Java中的操作流程简单说几句
- Spring 源码分析(四) ——MVC(七)视图呈现
- java回炉重造(一)
- Java---设计模块(单例的变形)(多例)
- Java---设计模块(单例的变形)(多例)
- Spring 源码分析(四) ——MVC(六)M 与 C 的实现
- Spring 源码分析(四) ——MVC(五)初始化阶段