- 博客(7)
- 收藏
- 关注
原创 SpringBoot JSP 在idea下不能访问 404
去年公司开始推行SpringBoot,部分老旧的项目还使用着传统的JSP开发模式,在idea下就遇到了一个问题,访问jsp页面404。网上大部分都是建议更改jar的依赖方式,未解决,后来同事推荐了解决办法,现记录下来,希望能帮到遇到和我一样问题的人。其实根本原因就是我们项目的目录结构的问题,大家拉取项目,一般都习惯先创建一个文件夹,然后把项目都拉到这个文件夹下,用idea打开父文件夹,就像这种...
2019-05-26 10:45:00
984
1
原创 Web安全-Shiro-记住我功能
在《Web安全-使用Shiro做认证和访问控制》 中,我简单了说明了shiro的用法,今天来讲下利用shiro怎么实现记住我功能,如下图:如果勾选了记住我,那么在关闭浏览器或服务器重启后,用户打开网站会自动登录进去,无需再次输入密码。据我了解,记住我功能应该是shiro把用户信息序列化到cookie中,传到后台的时候再解密的。需要增加记住我相关的配置:/** * rememberMe管理...
2019-05-19 11:01:47
865
2
原创 Web安全-使用Shiro做认证和访问控制
在《公司项目重构-Web安全-访问控制》中,我讲到了基于URL和基于方法的访问控制可以用主流框架Spring Security或Shiro实现,现在我来分享下shiro的使用方法,其中的技术细节我就不多讲了,感兴趣的可以上网查找资料(推荐开涛讲的shiro)。公司采用的是Spring Boot,shiro的版本是1.4.0。1、引入shiro相关的依赖包修改pom.xml文件,建议依赖的版本...
2019-05-12 00:22:11
381
原创 公司项目重构-Web安全-访问控制
目录一、背景介绍二、基础概念三、安全风险四、防范手段1、使用安全框架(重要)2、后台对数据范围做判断(重要)3、避免数据库自增ID在页面传输(建议)如时间有限,可直接阅读防范手段一节。一、背景介绍今年开始公司准备对项目做部分重构,其中安全性问题首当其冲,除了已知的问题外,还需要发散思维,尽可能找出更多的潜在问题。期间发现一本非常好的书《白帽子讲Web安全》,感谢吴翰清大佬,读完本书让我对we...
2019-05-04 14:06:10
417
原创 公司项目重构-Web安全-认证和会话管理
目录1、背景介绍2、安全风险认证过程攻击认证后的Session攻击3、防范手段一、在用户密码方面1、校验密码强度(重要)2、不可逆的加密算法(重要)3、多因素认证(看业务场景)4、认证的超频限制(重要)二、在会话管理方面1、会话cookie一定要设置HttpOnly(重要)2、用户客户端发生改变时,强制重新登录 (重要)3、踢下线功能,每个用户只允许一个session(重要)如时间有限,可直接阅...
2019-04-27 23:34:28
375
原创 公司项目重构-Web安全-文件上传漏洞
目录1、背景介绍2、攻击原理3、防范手段1)、做好文件类型检查(重要)2)、最好对图片进行压缩或resize3)、使用随机数改写文件名和文件路径(根据公司需求)4)、设置单独文件服务器和域名(重要)5)、检查病毒木马、色情、反政府等文件如时间有限,可直接阅读防范手段一节。1、背景介绍今年开始公司准备对项目做部分重构,其中安全性问题首当其冲,除了已知的问题外,还需要发散思维,尽可能找出更多的潜...
2019-04-20 11:26:31
286
原创 公司项目重构-Web安全-注入攻击
目录1、背景介绍2、注入原理3、防范手段1)、预编译语句,绑定变量(重要)2)、存储过程(除非公司允许)3)、合理使用数据类型(重要)4)、使用编码函数5)、最小权限原则(重要)如时间有限,可直接阅读防范手段一节。1、背景介绍今年开始公司准备对项目做部分重构,其中安全性问题首当其冲,除了已知的问题外,还需要发散思维,尽可能找出更多的潜在问题。期间发现一本非常好的书《白帽子讲Web安全》,感谢...
2019-04-14 11:50:04
351
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人