HDIV:HTTP Data Integrity Validator

原创 2007年09月20日 16:14:00
http://www.hdiv.org/

HDIV:HTTP Data Integrity Validator

We can briefly define HDIV as a Java Web Application Security Framework. HDIV extends web applications’ behaviour by adding Security functionalities, maintaining the API and the framework specification. This implies that we can use HDIV in applications developed in Struts 1.x, Struts 2.x, Spring MVC and JSTL in a transparent way to the programmer and without adding any complexity to the application development. It is possible to use HDIV in applications that don’t use Struts 1.x, Struts 2.x, Spring MVC or JSTL, but in this case it is necessary to modify the application (JSP pages).
(我们能简要地将HDIV定义为java web应用安全框架,HDIV通过加上安全功能、维持同样的API和应用规范来扩展Web应用的行为。这意味着我们能在采用struts1.X、struts2.x、Spring MVC和JSTL开发的应用系统中以透明的方式使用HDIV,而不会给应用开发增加复杂性。对于那些不使用struts1.X,struts2.x,spring MVC 或JSTL的应用中,也可使用HDIV,不过在这和情况下有必须修改一下应用程序(Jsp页面)。)

The security functionalities added to the web applications are these:
给web 应用增加三个安全功能如下:
INTEGRITY(完整性): HDIV guarantees integrity (no data modification) of all the data generated by the server which should not be modified by the client (links, hidden fields, combo values, radio buttons, destiny pages, etc.). Thanks to(由于) this property HDIV helps to eliminate most of the vulnerabilities bsed on the parameter tampering.

EDITABLE DATA VALIDATION(可修改数据验证): HDIV eliminates to a large extent the risk originated by attacks of type Cross-site scripting (XSS) and SQL Injection using generic validations of the editable data (text and textarea).

CONFIDENTIALITY(机密性): HDIV guarantees the confidentiality of the non editable data as well. Usually lots of the data sent to the client has key information for the attackers such as database registry identifiers, column or table names, web directories, etc. All these values are hidden by HDIV to avoid a malicious use of them. For example a link of this type, http://www.host.com?data1=12&data2=24 is replaced by http://www.host.com?data1=0&data2=1, guaranteeing confidentiality of the values representing database identifiers. Also it is possible to hide the name of the parameters becoming the link into http://www.host.com?0=0&1=1.

oracle 11g GRID 中 关于 OLR 需要知道的一些内容

oracle 11g GRID 中 关于 OLR 需要知道的一些内容 1.检查olr 的状态: [root@vmrac1 ~]# ocrcheck -local Status of Oracle Lo...
  • royjj
  • royjj
  • 2014年06月18日 08:57
  • 1921

jQuery表单验证插件Validator的使用方法

from表单数据的合法性验证是个很常见的需求,jQuery提供了一个插件:jquery validate 官网下载。    若想使用需先引用jquery.validate.js,并且要在jquery...
  • u014291497
  • u014291497
  • 2016年03月15日 23:12
  • 2853

hibernate-validator实现入参校验(包含get与post)

最近在实现一个功能时,由于入参特别多,有的入参需要不为空,有的入参可以为空,这中间如果手动一个一个判断,重复代码太多,所以就想到了用hibernate-validator来实现。中间诸多波折,现分享如...
  • nuaazhaofeng
  • nuaazhaofeng
  • 2015年12月31日 10:23
  • 708

使用Validator做SpringMVC的验证框架 - 使用Validator

前面一章我们已经搭好SpringMVC的环境了。现在开始学习Validator框架的使用吧 Validator框架源码地址:https://github.com/devefx/validator ...
  • devefx
  • devefx
  • 2016年06月02日 15:35
  • 3763

11.Laravel5学习笔记:扩展 Validator 类

简介在 Laravel5 中,本身已经提供了丰富的验证规则供我们使用,但是天下应用奇葩多,做为程序员你会发现永远都有新的验证规则诞生,光是组合已经拯救不了你的项目了。这个时候就需要我们扩展 Valid...
  • hel12he
  • hel12he
  • 2015年08月12日 19:00
  • 5353

SpringMVC 之validator验证笔记(五)

SpringMVC支持的数据校验是JSR303的标准,通过在bean的属性上打上annotation @NotNull @Max等进行验证。JSR303提供有很多annotation借口,而Sprin...
  • tony308001970
  • tony308001970
  • 2017年05月24日 16:54
  • 874

自动化测试陷阱

在项目启动会议上,项目经理告诉大家说将在项目中采用自动化测试工具,然后指定你在下周的会议之前提交一份工具选型报告。你感到很惊讶,项目经理是从什么地方了解到自动化测试的,为什么突然对自动化测试这么着迷,...
  • benpaobagzb
  • benpaobagzb
  • 2015年08月27日 23:02
  • 351

【xv6学习之番外篇】保护

本文源自:https://pdos.csail.mit.edu/6.828/2014/readings/i386/s06_01.htm (Intel 80386 Reference Programm...
  • woxiaohahaa
  • woxiaohahaa
  • 2015年12月27日 21:01
  • 1062

oracle 11g GRID 中 关于 OLR 需要知道的一些内容

转自:http://www.tuicool.com/articles/uyEFvi oracle 11g GRID 中 关于 OLR 需要知道的一些内容 1.检查olr 的状态: [root@v...
  • ghostliming
  • ghostliming
  • 2016年01月12日 17:06
  • 449

地图对接汇总(百度地图)

最近再做一个项目需要用户地图定位以及
  • XinTeng2012
  • XinTeng2012
  • 2014年09月23日 15:23
  • 2271
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:HDIV:HTTP Data Integrity Validator
举报原因:
原因补充:

(最多只允许输入30个字)