Spring MVC 如何防止XSS、SQL注入攻击

- 日理万妓 2022-06-17 01:25 495阅读 0赞

在Web项目中，通常需要处理XSS,SQL注入攻击，解决这个问题有两个思路：

在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原

在显示的时候对非法字符进行转义

如果项目还处在起步阶段，建议使用第二种，直接使用jstl的标签即可解决非法字符的问题。当然，对于即可。

附：Javascript方法：

String.prototype.escapeHTML = function () \{

return this.replace(/&/g, ‘&’).replace(/>/g, ‘>’).replace(/

\}

如果项目已经开发完成了，又不想大批量改动页面的话，可以采用第一种方法，此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils

public class StringEscapeEditor extends PropertyEditorSupport \{

private boolean escapeHTML;

private boolean escapeJavaScript;

private boolean escapeSQL;

public StringEscapeEditor() \{ super(); \}

public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) \{

super();

this.escapeHTML = escapeHTML;

this.escapeJavaScript = escapeJavaScript;

this.escapeSQL = escapeSQL;

\}

@Override

public void setAsText(String text) \{

if (text == null) \{

setValue(null);

\} else \{

String value = text;

if (escapeHTML) \{ value = StringEscapeUtils.escapeHtml(value); \}

if (escape \{ value = StringEscapeUtils.escape; \}

if (escapeSQL) \{ value = StringEscapeUtils.escapeSql(value); \} setValue(value); \}

\}

@Override

public String getAsText() \{ Object value = getValue(); return value != null ? value.toString() : “”; \}

\}

在使用StringEscapeUtils时需要注意escapeHtml和escapeJavascript方法会把中文字符转换成Unicode编码，如果通过标签或者EL表达式展示时，能够正确还原，但是如果使用类似于Ext这样的前端组件来展示这部分内容时，不能正常还原，这也是我为什么放弃了第一种方法，直接使用第二种方法的原因。

在上面我们做了一个EscapeEditor，下面还要将这个Editor和Spring的Controller绑定，使服务器端接收到数据之后能够自动转移特殊字符。

下面我们在@Controller中注册@InitBinder

@InitBinder

public void initBinder(WebDataBinder binder) \{

binder.registerCustomEditor(String.class, new StringEscapeEditor(false, false, false));

\}

这个方法可以直接放到abstract Controller类中，这样子每个Controller实例都能够拥有该方法。至此第二种方法完成，但是在还原的方法暂时还没有。O(∩\_∩)O…

转载 ：http://blog.sina.com.cn/s/blog\_7a9c22c701018cy8.html

发表评论取消回复

表情：

评论列表（有 0 条评论，495人围观）

还没有评论，来说两句吧...

相关阅读

相关 Python中如何防止SQL注入攻击？

在 Python 中，通过以下几个方面可以有效防止 SQL 注入攻击： 1. 使用参数化查询（PEP 249）： Python 的 `sqlite3` 模块提供参数化查

朱雀/ 2025年01月15日 15:36/ 0 赞/ 39 阅读

相关如何在Java中防止SQL注入攻击

在Java中防止SQL注入攻击，可以遵循以下几种策略： 1. **参数化查询**：使用JDBC的PreparedStatement来代替直接调用Statement。P

￡神魔★判官ぃ/ 2024年10月20日 09:00/ 0 赞/ 95 阅读

相关如何在Java中防止SQL注入攻击

在Java中，防止SQL注入攻击通常遵循以下步骤： 1. **参数化查询**：使用JDBC API的PreparedStatement对象进行SQL操作。预编译的语句

桃扇骨/ 2024年10月17日 13:12/ 0 赞/ 101 阅读

相关在Java中，如何防止SQL注入攻击？

在Java中，防止SQL注入攻击主要通过以下几个步骤： 1. **参数化查询**：使用PreparedStatement而不是传统Statement进行数据处理。这种方式允

缺乏、安全感/ 2024年10月16日 05:12/ 0 赞/ 111 阅读

相关如何在Java中防止SQL注入攻击?

在Java中防止SQL注入攻击，可以采取以下几种策略： 1. **参数化查询**：使用`PreparedStatement`而不是`Statement`。`Prepa

左手的ㄟ右手/ 2024年09月27日 17:18/ 0 赞/ 124 阅读

相关在Java中如何防止SQL注入攻击

在Java中防止SQL注入攻击，通常会采用以下几个策略： 1. **参数化查询**：使用JDBC的PreparedStatement对象来代替直接调用Statemen

妖狐艹你老母/ 2024年09月16日 06:03/ 0 赞/ 124 阅读

相关如何在Java中防止代码注入攻击?

代码注入攻击是通过将恶意代码嵌入到你的应用程序中，然后执行这个代码来获取敏感信息或者破坏系统的一种安全威胁。在Java中防止代码注入攻击主要有以下几种方法： 1. **参

短命女/ 2024年09月15日 02:54/ 0 赞/ 104 阅读

相关如何在Java中防止SQL注入攻击?

在Java中防止SQL注入攻击，主要遵循以下几个原则： 1. **参数化查询**：使用JDBC的PreparedStatement对象执行SQL。预设语句会将参数转义

港控/mmm°/ 2024年09月05日 22:51/ 0 赞/ 119 阅读

相关 Spring MVC 如何防止XSS、SQL注入攻击

在Web项目中，通常需要处理XSS,SQL注入攻击，解决这个问题有两个思路：　　在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原　　在显示的时候

- 日理万妓/ 2022年06月17日 01:25/ 0 赞/ 496 阅读

相关防止JavaScript注入攻击

这篇文章主要介绍在ASP.NET MVC应用程序中如何防止JavaScript注入攻击。这篇文章讨论了两种防止JavaScript攻击的方法：在显示数据的时候，通过使用E

电玩女神/ 2022年06月05日 09:05/ 0 赞/ 720 阅读