互联网安全架构

最新推荐文章于 2024-09-23 19:14:07 发布

2401_83330193

最新推荐文章于 2024-09-23 19:14:07 发布

阅读量400

点赞数 5

分类专栏：程序员文章标签：安全架构安全

本文链接：https://blog.csdn.net/2401_83330193/article/details/137609682

版权

程序员专栏收录该内容

517 篇文章 0 订阅

订阅专栏

Xss就是javascript 脚本攻击，就是在表单提交的时候提交一个小脚本，因为浏览器默认是支持脚本的，所以写个小脚本不做处理的话问题就很大。

如何防御？

1，通过后台编写一个过滤器拦截所有getParameter参数重写httpservletwrapp方法。

2，通过工具类将参数特殊字符转换成html源代码保存。

// 重写HttpServletRequestWrapper 防止XSS攻击

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

private HttpServletRequest request;

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

this.request = request;

}

@Override

public String getParameter(String name) {

// 过滤getParameter参数检查是否有特殊字符

String value = super.getParameter(name);

System.out.println(“value:” + value);

if (!StringUtils.isEmpty(value)) {

// 将中文转换为字符编码格式，将特殊字符变为html源代码保存

value = StringEscapeUtils.escapeHtml(value);

}

return value;

}

好啦这个Xss现在就可以简单防御啦，下面我们说说sql注入

二，什么是sql注入?

SQL注入：利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作。造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的SQL查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码

如何防御？

规范sql 写的方式不要写拼接sql,、最好使用预编译方式，在mybatis编写sql语句的时候，最好使用?传参数方式，不要使用#传参数，因为#传参数方式，可能会受到sql语句攻击。

#{}: 解析为一个 JDBC 预编译语句（prepared statement）的参数标记符，一个 #{ } 被解析为一个参数占位符,可以防止SQL注入问题。

${}: 仅仅为一个纯碎的 string 替换，在动态 SQL 解析阶段将会进行变量替换。

三，防盗链

什么是防盗链？

防盗链就是A网站有一张图片，B网站要引用过来使用到自己网站，引用图片和样式，js等等。

如何防御？

防御思路：

1，写一个过滤器判断http请求头Referer域中的记录来源的值，如果和当前访问的域名不一致的情况下，说明该图片可能被其他服务器盗用。

2，通过动静分离或者前后端分离。通过nginx配置。

@WebFilter(filterName = “imgFilter”, urlPatterns = “/imgs/*”)

public class ImgFilter implements Filter {

@Value(“${domain.name}”)

private String domainName;

public void init(FilterConfig filterConfig) throws ServletException {

}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

String referer = req.getHeader(“Referer”);

if (StringUtils.isEmpty(referer)) {

request.getRequestDispatcher(“/imgs/error.png”).forward(request, response);

return;

}

String domain = getDomain(referer);

if (!domain.equals(domainName)) {

request.getRequestDispatcher(“/imgs/error.png”).forward(request, response);

return;

}

chain.doFilter(request, response);

}

/**

获取url对应的域名
@param url
@return

public String getDomain(String url) {

String result = “”;

int j = 0, startIndex = 0, endIndex = 0;

for (int i = 0; i < url.length(); i++) {

if (url.charAt(i) == ‘/’) {

j++;

if (j == 2)

startIndex = i;

else if (j == 3)

endIndex = i;

}

result = url.substring(startIndex + 1, endIndex);

return result;

}

public void destroy() {

}

这里贴的只是示列代码具体优化还得你自己去优化。

四，什么是csrf模拟请求？

（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

也就是通俗一点来说就是，大量请求你的接口，通过抓包工具请求分析，伪造token访问你的接口，攻击服务器降低服务器数据库性能。

如何解决防御？

1，MVCC方案

多版本并发控制，该策略主要使用 update with condition（更新带条件来防止）来保证多次外部请求调用对系统的影响是一致的。在系统设计的过程中，合理的使用乐观锁，通过 version 或者 updateTime（timestamp）等其他条件，来做乐观锁的判断条件，这样保证更新操作即使在并发的情况下，也不会有太大的问题。例如

select * from tablename where condition=#condition# // 取出要跟新的对象，带有版本 versoin

update tableName set name=#name#,version=version+1 where version=#version#

在更新的过程中利用 version 来防止，其他操作对对象的并发更新，导致更新丢失。为了避免失败，通常需要一定的重试机制。

2.去重表

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。