shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

最新推荐文章于 2025-06-06 10:29:09 发布
原创 最新推荐文章于 2025-06-06 10:29:09 发布 · 9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #设计 #对象 #csrf #xss

本文介绍如何通过设计一个可插拔、可定制的校验器来增强Shiro的安全性,以防止XSS和CSRF攻击。通过创建校验器接口、定义返回视图对象、编写执行类和具体实现,实现对数据对象属性的严格筛选和过滤,以满足业务中更复杂的数据安全需求。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	private Map<String, Object
最低0.47元/天 解锁文章

200万优质内容无限畅学
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1667
首先,代码核心逻辑来自https://blog.youkuaiyun.com/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
彻底搞懂网络安全中的 CSRF 攻击,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Button12138的博客
06-06 1255
各位网络安全爱好者,今天咱们来聊聊一个老生常谈但又不得不防的安全漏洞——,也就是跨站请求伪造。别看它名字挺唬人,其实理解起来一点都不难。保证你看完这篇文章,就能像躲避老板突击检查一样,轻松应对 CSRF 攻击
Spring Security中防护CSRF功能
...
04-13 908
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
q1054261752的博客
02-24 228
采用Java实现的开源类库。基于filter拦截,将特殊字符替换为html转意字符, 需要拦截的点如:请求头requestHeader、请求体requestBody、请求参数requestParameter。c、关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法。网络安全-跨站脚本攻击(XSS)的原理、攻击及防御。shiroFilter之前已经讲过。防止sql注入风险。
安全框架Shiro
qq_42394862的博客
10-15 735
Shiro
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 492
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSSCSRF防御
10-03
接下来,“面试题”通常包括了对基础语法、设计模式、数据结构、算法以及特定技术的深度理解。例如,垃圾回收机制、JVM内存模型、Spring框架的工作原理等,都是Java开发者需要掌握的面试知识点。 “Spring Boot”是...
【Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!
[【Java Web安全基础知识】:防御XSSCSRF攻击,必备知识速成!](https://www.profisea.com/wp-content/uploads/2020/05/cross-origin-resource-sharing.jpg) # 摘要 随着互联网技术的飞速发展,Java Web应用的...
生产实习--启明星辰 第四天(Web网络安全基础知识,sql注入,xss攻击csrf与ssrf,xxe攻击,未授权漏洞,漏洞,常见中间件攻击,文件包含,流量特征)
TuYHAAAAAA的博客
07-09 1608
CSRF漏洞攻击原理:客户端请求伪造,在我看来,假如我是黑客,我想访问网站A,但是这个网站A要付费,我没钱呀,我就找到一个人他要访问两个网站分别是A网站和B网站,我就黑了网站B,在他同时访问这两个网站时,我就偷偷发送一个有危害的请求,来获取A网站的cookie从而用他的账号密码来访问这个A网站。SSRF跨站请求伪造:服务端请求伪造,在我看来,就是操作服务器骗取客户端数据信息。外部实体注入,是一种利用XML解析器处理XML文档时的安全漏洞进行的攻击
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
Shiro权限管理】1.Shiro简介
程序猿之洞
10-14 2229
一、简介 在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。 Apache Shiro是Java的一个安全(权限)框架Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。 关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apac
shiro漏洞部分修复方法
web13293720476的博客
08-24 377
在程序内配有java类XssHttpServletRequestWrapperNew适配器,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)
shiro学习
weixin_34113237的博客
12-25 196
简介: Apache Shiro 是 Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
shiro安全框架扩展教程--如何防止可执行文件的入侵攻击【转】
chengyunyi的专栏
01-12 812
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单
Shiro(2)
mhfaaa的博客
07-01 314
Shiro shiro是apache旗下一个Java安全框架,它将软件系统的安全认证相关的功能抽取出来,实现用户身份认证、权限授权、加密、会话管理等功能,组成了一个通用的安全认证框架。使用shiro就可以非常快速的完成认证、授权、加密,会话管理等功能的开发,可为任何应用提供安全保障,降低系统成本 Shiro功能 登录/身份认证,登录失败次数限制 对用户执行访问控制,如: 判断用户是否拥有角色admin,判断用户是否拥有访问的权限 在任何环境下使用Session API。例如CS程序 加密,保证数据安全;
对比整合shiro和springsecurity(springboot项目):授权资源和认证登录
furenqiang的博客
12-08 1438
springboot整合shiro授权资源和认证登录 一、在pom.xml文件里添加shiro依赖 <!--shiro-spring依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&g...
Shiro与Struts2集成实现完美运行教程
- Web应用安全基础:了解常见的Web应用安全风险,如CSRF攻击、SQL注入、XSS攻击等,以及如何使用Shiro和Struts2框架来防御这些风险。 - 高级特性:研究Shiro和Struts2的高级特性,如分布式会话、集群部署时的会话...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值