shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

最新推荐文章于 2025-04-10 20:12:01 发布
最新推荐文章于 2025-04-10 20:12:01 发布
阅读量1.1k 收藏
点赞数
文章标签: java 数据库

很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	private Map<String, Object> errorMap; // 失败对应信息

	public FormValidateResult() {
		this(false);
	}

	public FormValidateResult(boolean success) {
		this.success = success;
	}

	public boolean isSuccess() {
		return success;
	}

	public void setSuccess(boolean success) {
		this.success = success;
	}

	public Map<String, Object> getErrorMap() {
		return errorMap;
	}

	public void setErrorMap(Map<String, Object> errorMap) {
		this.errorMap = errorMap;
	}

}


3.写一个专门执行校验器的执行类


package com.silvery.plugin.validator;

import java.lang.reflect.Method;
import java.util.List;

import com.silvery.utils.ReflectUtils;

/**
 * 
 * 数据校验器执行类
 * 
 * @author shadow
 * 
 */
public class SimpleFormValidator<T> {

	/**
	 * 表单校验方法
	 * 
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(T t) throws FormValidateException {
		return validate(null, t);
	}

	/**
	 * 表单校验方法
	 * 
	 * @param validator
	 *            用户自定义校验器
	 * @param t
	 *            校验数据对象
	 * @return 数据校验视图
	 * @throws FormValidateException
	 *             校验异常
	 */
	public FormValidateResult validate(FormValidator<FormValidateResult, T> validator, T t)
			throws FormValidateException {
		FormValidateResult validateResult = new FormValidateResult();
		// 优先执行用户自定义校验器,如不通过则跳出
		if (validator != null) {
			validateResult = validator.validate(t);
			if (!validateResult.isSuccess()) {
				return validateResult;
			}
		}
		return validateForXSS(t);
	}

	/** 校验是否存在XSS攻击脚本,当前只检测String类型声明字段 */
	private FormValidateResult validateForXSS(T t) {
		List<Method> methods = ReflectUtils.getMethods(t.getClass());
		for (Method method : methods) {
			if (method.getName().startsWith("set")) {
				Class<?>[] parameterClass = method.getParameterTypes();
				// 参数不能为null, 参数只有一个, 参数类型只能是String
				if (parameterClass != null && parameterClass.length == 1 && parameterClass[0].equals(String.class)) {
					// ReflectUtils.writeValueByMethod(t, method, "test");
				}
			}
		}
		return new FormValidateResult(true);
	}

}



4. 实现我们的校验器接口,自己写所需逻辑过滤


package com.silvery.project.cms.validator;

import java.util.HashMap;
import java.util.Map;

import com.silvery.plugin.validator.FormValidateException;
import com.silvery.plugin.validator.FormValidateResult;
import com.silvery.plugin.validator.FormValidator;
import com.silvery.project.cms.model.Authority;

/**
 * 权限实体数据校验器实现
 * 
 * @author shadow
 * 
 */
public class AuthorityFormValidator implements FormValidator<FormValidateResult, Authority> {

	@Override
	public FormValidateResult validate(Authority t) throws FormValidateException {
		// TODO do some validate operate
		FormValidateResult formValidateResult = new FormValidateResult();
		Map<String, Object> errorFieldMap = new HashMap<String, Object>();
		formValidateResult.setSuccess(true);
		formValidateResult.setErrorMap(errorFieldMap);
		return formValidateResult;
	}

}

4. 工作都准备得差不多的话,就开始接入到我的业务


/** 校验对象数据合法性 */
	protected ServiceResult<T> validateForm(ServiceResult<T> serviceResult, T t) throws FormValidateException {
		FormValidateResult formValidateResult = new SimpleFormValidator<T>().validate(initFormValidator(), t);
		if (formValidateResult.isSuccess()) {
			return serviceResult.setSuccess(true);
		} else {
			return formValidateResult2ViewResult(serviceResult, formValidateResult);
		}
	}


@Override
	public ServiceResult<T> insert(T model) {
		ServiceResult<T> serviceResult = createServiceResult();
		try {
			serviceResult = validateForm(serviceResult, model);
			if (!serviceResult.isSuccess()) {
				return serviceResult;
			}
			int count = getDefaultDao().insert(model);
			if (count > 0) {
				serviceResult.setSuccess(true).setMessage(
						new StringBuffer("成功保存[").append(count).append("]条记录").toString());
			} else {
				serviceResult.setMessage("没有保存到任何记录");
			}
		} catch (Exception e) {
			logErrorResult(serviceResult, e);
		}
		return serviceResult;
	}

后语, 我也没有写明确的xss,csrf过滤规则,我只是提供一个可无缝接入业务的校验器实现,可以让你动态修改里面的数据,或者是拦截数据,希望对大家有帮助


版权声明:本文为博主原创文章,未经博主允许不得转载。

iteye_11495
关注
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1649
首先,代码核心逻辑来自https://blog.youkuaiyun.com/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
Spring Security中防护CSRF功能
...
04-13 905
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
中间件安全系列(六):Tomcat文件读取与Shiro反序列化漏洞攻防实战
最新发布
tengyuehou的博客
04-10 1187
通过这个漏洞我们可以读取到对方服务器的各种文件信息,如果对方服务器存在文件上传服务,我们可以通过上传jsp的反弹shell脚本,通过这个漏洞来访问这个文件,那么这个文件将会以jS即格式解析,我们就可以获得对方的shell。
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
q1054261752的博客
02-24 222
采用Java实现的开源类库。基于filter拦截,将特殊字符替换为html转意字符, 需要拦截的点如:请求头requestHeader、请求体requestBody、请求参数requestParameter。c、关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法。网络安全-跨站脚本攻击(XSS)的原理、攻击及防御。shiroFilter之前已经讲过。防止sql注入风险。
安全框架Shiro
qq_42394862的博客
10-15 731
Shiro
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSSCSRF防御
10-03
接下来,“面试题”通常包括了对基础语法、设计模式、数据结构、算法以及特定技术的深度理解。例如,垃圾回收机制、JVM内存模型、Spring框架的工作原理等,都是Java开发者需要掌握的面试知识点。 “Spring Boot”是...
Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!
[【Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!](https://www.profisea.com/wp-content/uploads/2020/05/cross-origin-resource-sharing.jpg) # 摘要 随着互联网技术的飞速发展,Java Web应用的...
生产实习--启明星辰 第四天(Web网络安全基础知识,sql注入,xss攻击csrf与ssrf,xxe攻击,未授权漏洞,漏洞,常见中间件攻击,文件包含,流量特征)
TuYHAAAAAA的博客
07-09 1584
CSRF漏洞攻击原理:客户端请求伪造,在我看来,假如我是黑客,我想访问网站A,但是这个网站A要付费,我没钱呀,我就找到一个人他要访问两个网站分别是A网站和B网站,我就黑了网站B,在他同时访问这两个网站时,我就偷偷发送一个有危害的请求,来获取A网站的cookie从而用他的账号密码来访问这个A网站。SSRF跨站请求伪造:服务端请求伪造,在我看来,就是操作服务器骗取客户端数据信息。外部实体注入,是一种利用XML解析器处理XML文档时的安全漏洞进行的攻击
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 489
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
Shiro权限管理】1.Shiro简介
程序猿之洞
10-14 2203
一、简介 在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。 Apache ShiroJava的一个安全(权限)框架Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。 关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apac
shiro漏洞部分修复方法
web13293720476的博客
08-24 363
在程序内配有javaXssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)
shiro学习
weixin_34113237的博客
12-25 193
简介: Apache ShiroJava 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
shiro安全框架扩展教程--如何防止可执行文件的入侵攻击【转】
chengyunyi的专栏
01-12 808
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单
Shiro(2)
mhfaaa的博客
07-01 309
Shiro shiro是apache旗下一个Java安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权、加密,会话管理等功能的开发,可为任何应用提供安全保障,降低系统成本 Shiro功能 登录/身份认证,登录失败次数限制 对用户执行访问控制,如: 判断用户是否拥有角色admin,判断用户是否拥有访问的权限 在任何环境下使用Session API。例如CS程序 加密,保证数据安全;
Shiro与Struts2集成实现完美运行教程
- Web应用安全基础:了解常见的Web应用安全风险,如CSRF攻击、SQL注入、XSS攻击等,以及如何使用Shiro和Struts2框架来防御这些风险。 - 高级特性:研究Shiro和Struts2的高级特性,如分布式会话、集群部署时的会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值