-
UID:821895
-
- 注册时间2015-06-17
- 最后登录2016-03-01
- 在线时间0小时
-
- 发帖1
- 搜Ta的帖子
- 精华0
- 黑豆5
- 威望5
- 贡献值0
- 交易币0
- 红豆0
-
访问TA的空间加好友用道具
|
在Java开发项目中, Spring MVC通常容易受到XSS、SQL注入攻击,那么出现这种情况,我们通常的有以下几种解决方法:
1、在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原;
2、在显示的时候对非法字符进行转义; 如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。在解析从服务器端获取的数据时执行以下escapeHTML()即可。 附:Javascript方法: String.prototype.escapeHTML = function () { return this.replace(/&/g, ‘&’).replace(/>/g,‘>’).replace(/ } 如果项目已经开发完成了,又不想大批量改动页面的话,可以采用第一种方法,此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils 注:在使用StringEscapeUtils时需要注意escapeHtml和escapeJavascript方法会把中文字符转换成Unicode编码,如果通过标签或者EL表达式展示时,能够正确还原,但是如果使用类似于Ext这样的前端组件来展示这部分内容时,不能正常还原。 例: public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; private boolean escapeJavaScript; private boolean escapeSQL; public StringEscapeEditor() { super(); } public StringEscapeEditor(boolean escapeHTML, booleanescapeJavaScript, boolean escapeSQL) { super(); this.escapeHTML = escapeHTML; this.escapeJavaScript = escapeJavaScript; this.escapeSQL = escapeSQL; } @Override public void setAsText(String text) { if (text == null) { setValue(null); } else { String value = text; if (escapeHTML) { value = StringEscapeUtils.escapeHtml(value); } if (escapeJavaScript) { value =StringEscapeUtils.escapeJavaScript(value); } if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); }setValue(value); } } @Override public String getAsText() { Object value = getValue(); return value!= null ? value.toString() : “”; } } 下面要将这个Editor和Spring的Controller绑定,使服务器端接收到数据之后能够自动转移特殊字符,在@Controller中注册@InitBinder @InitBinder public void initBinder(WebDataBinder binder) { binder.registerCustomEditor(String.class, newStringEscapeEditor(false, false, false));} 以上就是Spring MVC处理XSS、SQL注入攻击的的最简单的方法,大家在web项目中遭到这两种攻击,不妨试试以上的解释方法。
推荐学习:Java开发进阶实战(http://www.maiziedu.com/course/java/)
|
