本文介绍了四种常见的代码安全措施,包括:1) 使用HTML实体编码防止XSS攻击,阻止脚本执行;2) 通过验证Referer字段实施CSRF防护,确保请求来源合法性;3) 设置CORS白名单限制跨域访问,只允许特定源的POST请求;4) 检查Host头部以确保请求域名的安全性。
1、XSS防御
将请求的<script></script>替换为<script></script>符号,实现前端展示效果是对的,但是不执行脚本。
2、CSRF攻击
获取请求头的Referer值(类型的请求都有)
设置白名单:比如:*.tim.com,判断Referer的值是否包含.tim.com的后缀,包含则运行,否则跳转错误页面。
3、CORS攻击
获取请求头的Origin(注意:只有post请求或者跨域的get请求,因此,前提是保证所有的增删改都用post请求),同CSRF设置白名单,判断Origin的值是否合法。
httpServletRequest.getMethod()方法可以获取是否是get或者post请求。
4、判断请求的Host
获取请求头的Host,同上面通过白名单判断Host的值是否合法
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
