防止常见Web攻击：SQL注入、XSS、CSRF

最新推荐文章于 2025-04-10 13:42:36 发布

java小吕布

最新推荐文章于 2025-04-10 13:42:36 发布

阅读量1.1k

点赞数 28

分类专栏： Java Web 基础能量站文章标签：网络数据库 java

本文链接：https://blog.youkuaiyun.com/hwh22/article/details/143854968

版权

Java Web 基础能量站专栏收录该内容

11 篇文章

订阅专栏

在JavaWeb开发中，安全性是一个至关重要的议题。SQL注入、跨站脚本攻击（XSS）和跨站请求伪造（CSRF）是三种常见的Web攻击方式。本文将详细介绍这些攻击的原理以及如何在JavaWeb应用中有效防止这些攻击。

1. SQL注入（SQL Injection）

SQL注入攻击是指攻击者通过在应用程序的输入字段中插入恶意的SQL语句，从而欺骗数据库服务器执行非授权的查询或操作。

原理：

攻击者利用应用程序对用户输入数据的合法性没有进行严格的判断或过滤这一漏洞，将恶意SQL语句插入到应用程序预先定义的查询语句中。

示例：

String sql = "delete from table1 where id = " + id;

如果id参数被拼接为1001 or 1 = 1，最终的执行语句变为：

String sql = "delete from table1 where id = 1001 or 1 = 1";

这将导致数据库中的数据被清空。

防御策略：

使用PreparedStatement：PreparedStatement具有预编译功能，可以有效防止SQL注入。

String query = "DELETE FROM table1 WHERE id = ?";
PreparedStatement pstmt = connection.prepareStatement(query);
pstmt.setInt(1, id);
pstmt.executeUpdate();

对输入变量进行严格的类型和格式检查：确保输入变量的类型与预期类型一致，并对特殊字符进行过滤和转义。
使用Web应用防火墙（WAF）：WAF可以对SQL注入攻击进行实时监控和防御。

2. 跨站脚本攻击（XSS）

XSS攻击允许攻击者将恶意脚本注入到提供给其他用户使用的页面中，从而导致敏感信息泄露、网站仿冒甚至恶意软件感染。

原理：

攻击者通过输入字段、URL参数等方式将恶意脚本注入到页面中，当用户访问该页面时，恶意脚本会在用户的浏览器中执行。

分类：

存储型XSS：恶意脚本存储在服务器端，当用户访问包含恶意脚本的页面时触发。
反射型XSS：恶意脚本通过URL传递，当用户点击带有恶意脚本的URL时触发。
DOM型XSS：恶意脚本通过前端JavaScript代码执行，不经过服务器端。

防御策略：

输入验证和清理：对所有用户输入进行验证和清理，确保不包含恶意脚本。
使用HTML编码：在显示用户输入之前，使用HTML编码转义特殊字符，防止浏览器将输入解释为HTML并执行脚本。
```
String safeOutput = StringEscapeUtils.escapeHtml4(userInput);
```
设置HTTP安全头：通过设置X-XSS-Protection和Content-Security-Policy等HTTP安全头，提高浏览器的XSS保护级别。
```
response.setHeader("X-XSS-Protection", "1; mode=block");
response.setHeader("Content-Security-Policy", "default-src 'self'");
```

3. 跨站请求伪造（CSRF）

CSRF攻击允许恶意网站诱使用户的浏览器在用户不知情的情况下向另一个网站发送请求，可能导致该网站上的状态更改。

原理：

攻击者诱导受害者访问一个恶意网站，该网站向受害者已登录的合法网站发送跨站请求，利用受害者的登录凭证执行未授权的操作。

防御策略：

使用CSRF令牌：为每一个会话和敏感的表单请求生成一个随机的、不可预测的令牌，并在表单提交时检查令牌是否匹配。

// 在Spring Security配置中启用CSRF保护
http.csrf().enable();


// 在JSP页面中包含CSRF令牌
<form action="/submit" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
<!-- 其他表单字段 -->
</form>

检查Referer头：当请求发出时，检查请求的Referer头，确定它是否来自一个已知的、受信任的源。

String referer = request.getHeader("Referer");
if (referer == null || !referer.startsWith("https://yourtrusteddomain.com")) {
throw new SecurityException("Potential CSRF attack");
}

使用SameSite Cookie：通过设置SameSite Cookie属性，防止跨站请求携带敏感Cookie。

总结

在JavaWeb开发中，防止SQL注入、XSS和CSRF攻击是确保应用安全的关键。通过采用适当的防御策略，如使用PreparedStatement、输入验证和清理、设置HTTP安全头、使用CSRF令牌等，可以显著降低应用遭受这些攻击的风险。此外，定期进行安全审计和测试，以及使用自动化安全测试工具，也是确保应用长期安全的重要手段。

希望本文能帮助开发者更好地理解这些常见的Web攻击方式，并在实际开发中采取有效的防御措施，确保应用的安全性和稳定性。