踮脚敲代码

前几天有个客户在系统上面写了个注入html语句，导致打开页面就显示一张炒鸡大的图片，影响美观。后仔细想想，幸亏是注入的仅仅是一条html语句，知道严重性，马上开始一番安全配置。一. 定义过滤器package com.cn.unit.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;im

一、测试过程通过手工测试，构造用户可控参数访问，发现网站部分页面对用户可控参数未做过滤限制，存在XSS跨站脚本漏洞，测试如下：POST /task/notepad/insertNotepad HTTP/1.1Host: www.xxx.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,e

背景：若依默认使用账号密码进行登录，但是咱们客户需要增加一个短信登录功能，即在不更改原有账号密码登录的基础上，整合短信验证码登录。

使用拦截器防止请求重复提交，其实若依早已整合，利用 AOP 切面在进入方法前拦截，通过 Redis 的 key-value 键值对存储，指定 ==key+url+消息头== 来拼成字符串组成 key，使用 ==请求参数+时间== 封装 map 对象赋值 value，当 key 不存在时，则为新的请求；若存在，则对请求参数以及请求的间隔时间进行判断是否重复提交。

由于网络原因，用户操作有误（连续点击两次以上提交按钮），或者页面卡顿等原因，可能会出现请求重复提交，造成数据库保存多条重复数据。后端实现拦截器防重。那么如何防止请求重复提交呢？一般有两种解决方案：第一种：前端处理，在提交完成之后，将按钮禁用。第二种：后端处理，使用拦截器拦截。交给前端解决，判断多长时间内不能再次点击按钮，或者点击之后禁用按钮，当然，聪明的小伙伴能够绕过前端验证，因此推荐后端进行拦截处理。