dushitaoyuan/javaweb_security_handle
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
2 Commits 1 Branch 0 Tags
4d886bf1290e6907b831572334d3f9b7e3953cc7
Go to file
Clone
Open with VS Code Open with VSCodium Open with Intellij IDEA
Download ZIP Download TAR.GZ Download BUNDLE
dushitaoyuan 4d886bf129 初步完善完毕
2019-08-31 17:58:49 +08:00
src
初步完善完毕
2019-08-31 17:58:49 +08:00
.gitignore
初始提交
2019-08-30 18:56:39 +08:00
pom.xml
初步完善完毕
2019-08-31 17:58:49 +08:00
Readme.md
初步完善完毕
2019-08-31 17:58:49 +08:00

Readme.md

web 安全常见漏洞

  1. sql 注入

解决方案:参数检测,拦截非法入参,后端使用druid 连接池的sql防火墙 参见:com.taoyuanx.securitydemo.web

2.xss攻击

解决方案:参数检测,拦截非法入参,转义html字符,参见com.taoyuanx.securitydemo.web


3.跨站请求 解决方案:设置允许跨站的header信息

4.文件,图片等非站内请求

解决方案:防盗链处理(Http Rerfer头部,nginx可设置)

5.接口暴力访问

解决方案:系统限流,全局限流,单个ip限流,黑名单等,参见:com.taoyuanx.securitydemo.security.RateLimitAspect,com.taoyuanx.securitydemo.web.BlackListFilter

7.文件未授权访问

解决方案:上传的文件,展示时后端返回签名的文件,访问时,走一次后端,方便做权限验证,参见,/api/upload,/api/file

8.文件不安全类型上传

解决方案:校验文件类型,校验流信息,校验文件真实类型,参见/api/upload

9密码泄露风险

密码加密传输,参见login.html

Description
No description provided
Readme 216 KiB
Languages
Java 91.4%
HTML 5%
Lua 2.9%
JavaScript 0.7%