shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

最新推荐文章于 2025-11-29 10:16:43 发布
原创 最新推荐文章于 2025-11-29 10:16:43 发布 · 9.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #设计 #对象 #csrf #xss

本文介绍如何通过设计一个可插拔、可定制的校验器来增强Shiro的安全性,以防止XSS和CSRF攻击。通过创建校验器接口、定义返回视图对象、编写执行类和具体实现,实现对数据对象属性的严格筛选和过滤,以满足业务中更复杂的数据安全需求。

       很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	private Map<String, Object
最低0.47元/天 解锁文章
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
【第14章】亿级电商平台订单系统-安全架构设计
cherry5230的博客
03-21 416
确保外部访问系统的通信协议安全保证数据传输通道安全性图示说明:外部 -> [安全通道] -> 应用系统每个程序/用户仅拥有完成功能必需的最小权限集合课程分为上下两部分重点:从外部访问开始构建安全架构体系学习目标:服务层花式安全架构设计的层次化解析重点范围:服务层整体安全设计(不涉及服务内部功能安全)学习目标:服务内部安全架构设计前置知识:单体服务安全设计服务间交互安全设计聚合层防攻击处理安全设计层次:网络层防护服务网关控制服务间通信安全内部实现安全。
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击防止SQL注入攻击、过滤器Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据库设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务器的上线部署运行等流程,如下图所示:
前后端分离解决CSRF问题
ws_flying的博客
10-22 3674
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
bigbangbangbang1的博客
11-29 1041
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
安全漏洞修复帖
weixin_45067120的博客
03-09 2518
整理系统遇到的安全漏洞
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1734
首先,代码核心逻辑来自https://blog.youkuaiyun.com/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSSCSRF防御
10-03
接下来,“面试题”通常包括了对基础语法、设计模式、数据结构、算法以及特定技术的深度理解。例如,垃圾回收机制、JVM内存模型、Spring框架的工作原理等,都是Java开发者需要掌握的面试知识点。 “Spring Boot”是...
【Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!
[【Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!](https://www.profisea.com/wp-content/uploads/2020/05/cross-origin-resource-sharing.jpg) # 摘要 随着互联网技术的飞速发展,Java Web应用的...
Spring Security中防护CSRF功能
...
04-13 945
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
q1054261752的博客
02-24 262
采用Java实现的开源类库。基于filter拦截,将特殊字符替换为html转意字符, 需要拦截的点如:请求头requestHeader、请求体requestBody、请求参数requestParameter。c、关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法。网络安全-跨站脚本攻击(XSS)的原理、攻击及防御。shiroFilter之前已经讲过。防止sql注入风险。
安全框架Shiro
qq_42394862的博客
10-15 756
Shiro
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 514
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
Shiro权限管理】1.Shiro简介
程序猿之洞
10-14 2380
一、简介 在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。 Apache Shiro是Java的一个安全(权限)框架Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。 关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apac
shiro漏洞部分修复方法
web13293720476的博客
08-24 421
在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)
shiro学习
weixin_34113237的博客
12-25 216
简介: Apache Shiro 是 Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
shiro安全框架扩展教程--如何防止可执行文件的入侵攻击【转】
chengyunyi的专栏
01-12 848
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单
Shiro过滤器
lmchhh的博客
02-01 493
一,内置过滤器 认证过滤器: anon:不需要任何认证 authBasic:HTTPS authc:需要认证 user:需要当前存在用户 logout:退出 授权过滤器: perms[参数]:需要同时具备相关权限才可以访问 roles[参数]:需要同时具备相关角色才可以访问 ssl:HTTPS port[端口]:要求中括号里的端口才可以访问 举例: UserController @Requ...
renren-security 3.2开发文档完整版
文档还可能涵盖安全管理的最佳实践,如密码加密存储(使用BCryptPasswordEncoder)、防止CSRF攻击XSS过滤、SQL注入防御、日志审计、操作记录追踪等内容。对于企业级应用而言,这些安全加固措施至关重要。 最后,...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值