play安全指南

最新推荐文章于 2022-02-07 21:13:50 发布
最新推荐文章于 2022-02-07 21:13:50 发布
阅读量802 收藏
点赞数
分类专栏: play 文章标签: play 安全

play框架的安全设计只是存在于脑海中的一个概念——这就不可能阻止开发者在设计上出漏洞。本指南描述了在Web应用中常见的安全问题,并指导如何在play应用开发中去避免。

Sessions

一般情况下,你需要保存用户登录信息。如果不使用session,用户就需要在每次请求时传递证书。

这就是session要做的事:一系列cookies存储在用户的浏览器里,以用于标识不同的站点,并提供其他数据层之外的信息,比如语言。

守住你的安全…安全

session是一个key/values哈希表,有签名但没有加密。也就是说主要你的secret是安全的,那么第三方就不可能伪造session。

而secret存储在conf/application.conf里。保持这个文件的私有化非常重要:不要把它提交给公共仓库,为防止在安装某些人写的应用程序时对secret key进行修改,你可以运行命令play secret进行保护。

不要存储关键性的数据

然后,既然session没有加密,那么就不应该在session里存储关键性安全数据,通过本地网络连接或wifi连接进行嗅探,它将被看成是用户的cookie。

session被存储在cookie里, 而cookies被限制为4 KB大小。而且只能存储String。

跨站点脚本攻击

在web应用程序中,Cross-site scripting跨站点脚本是最常见的弱点。它包含了利用应用程序提供的窗体恶意注入到web页面的脚本代码。

假定这里有一个博客程序,任何人都可以发表评论,如果评论内容里包含了攻击脚本,那么你将打开你的站点进行攻击,可能步骤为:

  • 为访问者弹出一个窗体
  • 跳转访问者到被攻击者控制的站点
  • 窃取当前用户的可见信息,并发回攻击者的站点

因此为防止类似攻击,进行保护非常重要。

play的模板引擎会自动转义字符串。如果需要在模板里插入未转义的HTML代码,那就需要使用java字符串扩展的 raw() 方法。但如果这个字符串是用户输入的,那么你就需要首先确定它是否是无害的。

在对用户输入进行sanitizing消毒的时候,只允许白名单(只允许列表中的安全标签通过)通过,黑名单(禁止一些不安全的标签列表)则禁止。

详见cross-site scripting

SQL注入

SQL注入所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。这个漏洞可以摧毁数据,或访问不应该让当前用户看到的数据。


当使用高级的“find”方法时,就应该小心sql注入。当手工构建自己的查询时,尽量不要用+来作连接符,而是用?占位符。

比如:

createQuery("SELECT * from Stuff WHERE type=?1").setParameter(1, theType);

下面这个就不好了:

createQuery("SELECT * from Stuff WHERE type=" +theType;

跨站点请求伪造

跨站点请求伪造CSRF攻击在web应用程序里非常危险:

这个攻击方法通过在用户信任的web应用程序的页面里加入恶意代码或链接进行攻击。如果web应用程序的session没有设置超时,那么攻击者就可以执行未经验证的命令。

为预防这类攻击,首先就是要正确全用GET和POST方法。意思是仅允许POST方法用于修改应用程序的状态。

对POST请求来说,只有真实的token才会触发动作。Play现在内建了一个帮助类用于处理这样的问题:

  • checkAuthenticity() 检查真实性方法在控制器里可直接使用,用于检查请求参数里的token的真实有效,如果存在问题,就发送一个禁止response的命令。
  • session.getAuthenticityToken()方法用于为当前session生成一个真实可信的token
  • #{authenticityToken /}用于创建一个隐藏的输入域,可用于任何窗体

示例:

public static destroyMyAccount() {

   checkAuthenticity();

    …

}

上面的方法仅当窗体包含了真实有效的token时,才会被调用:

<form method="post" action="/account/destroy">

   #{authenticityToken /}

    <inputtype="submit" value="destroy my account">

</form>

对POST请求来说,Play提供form标签会自动生成一个有效的token:

#{form @destroyMyAccount()}

    <inputtype="submit" value="destroy my account">

#{/form}

如果你想保护所有控制器的action动作,你也可以使用checkAuthenticity()方法作为before filter进行听说。

更多跨站点请求伪造见: More on cross-site request forgery
chris_sen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastdfs 防盗链 java_fastdfs防盗链设置
weixin_29775479的博客
02-13 413
fastdfs防盗链设置一、/etc/fdfs/http.conf配置http.default_content_type = application/octet-streamhttp.mime_types_filename=mime.types#是否做token检查,缺省为falsehttp.anti_steal.check_token=true#即生成token的有效时长 秒http.anti_...
Linux 安全指南 3
AYXYJ
01-25 104
关于Linux安全的一本书, 分享一下 Linux安全指南 3 中国教育和科研计算机网(CERNET)应急响应组 上交大-计算机安全紧急响应组
play2.0教程】实现用户登录安全控制
weixin_33894992的博客
07-02 98
2019独角兽企业重金招聘Python工程师标准>>> ...
fastDFS+SpringBoot实现文件上传和下载(防盗链)
孟孟的博客
12-30 1万+
FastDFS内置防盗链采用Token的方式。Token是带时效的,也就是说在设定的时间范围内,比如1分钟,token是有效的。token包含了文件id、时间戳ts和密钥。 FastDFS在URL中带上当前时间戳和带时效的token,参数名分别为ts和token。Token的生成和校验都是在服务端,因此不会存在安全问题。 例如: http://你的IP/meng/...
FastDFS配置以及java操作
dingcai12003的博客
07-16 7477
综合介绍 内容介绍 FastDFS是由淘宝的余庆先生所开发,是一个轻量级、高性能的开源分布式文件系统,用纯C语言开发,包括文件存储、文件同步、文件访问(上传、下载)、存取负载均衡、在线扩容、相同内容只存储一份等功能,适合有大容量存储需求的应用或系统。做分布式系统开发时,其中要解决的一个问题就是图片、音视频、文件共享的问题,分布式文件系统正好可以解决这个需求。同类的分布式文件系统有谷歌的GFS、HD...
play框架手册-16.安全指南.pdf
09-30
Play 框架安全指南 Play 框架手册的安全指南旨在指导开发者在 Web 应用中避免常见的安全问题。以下是本指南中的重要知识点: 安全设计 * Play 框架的安全设计只是存在于脑海中的一个概念,这就不可能阻止开发者在...
play框架手册
10-17
16.安全指南 - 112 - Sessions - 112 - 守住你的安全安全 - 112 - 不要存储关键性的数据 - 112 - 跨站点脚本攻击 - 112 - SQL注入 - 113 - 跨站点请求伪造 - 114 - 17.Play模块和模块仓库 - 115 - 什么是模块? - ...
安卓连苹果carplay软件
10-18
CarPlay是苹果公司推出的一项车载信息系统,它允许用户通过iOS设备控制车辆的多媒体、导航和通讯功能,以实现更安全、便捷的驾驶体验。在Android设备上实现与CarPlay的连接,通常需要第三方软件或适配器。 描述中...
play初学者学习专用
08-18
**Play框架初学者指南** Play框架是一个开源的Java和Scala Web应用框架,它基于MVC(Model-View-Controller)架构模式,强调简洁、反应式和模块化开发。这个资料包是为那些想要踏入Play框架学习之旅的初学者量身...
play__sank.rar_play
09-14
标题中的"play__sank.rar_play"暗示了这是一个与游戏相关的压缩文件,可能是为了优化Windows XP系统以便更好地运行游戏。...用户在使用前应仔细阅读许可协议,并按照帮助文档进行操作,以确保正确安全地使用工具。
SECRET_KEY&密钥
weixin_42696066的博客
08-23 1万+
SECRET_KEY配置变量是通用密钥,可在Flask和多个第三方扩展中使用,如其名所示,加密的强度取决于变量值的机密度,不同的程序使用不同的密钥 作用:主要是在其加密的过程中作为算法的一个参数,这个值的复杂度影响到了数据传输和存储时的复杂度 考虑到安全性,密钥最好存储在系统的环境变量中 下面生成密钥的一种方法: import os import base64 key = os.uran...
appkey 和 secret key & token
xiaofei0859的专栏
03-07 3万+
appkey 和 secret key相当于当前账户的另外一套账号和密码机制. 当然, 仅仅是在API调用的范围内适用. 1.生成方式可以自己定义, appkey保证不重复就行. secret key保证不容易被穷举, 生成算法也不能被轻易猜到. salt是一个不错的方式. 2.我们假定 appkey = 'AK' secret key = 'BK' 当前时间为 'T' 随机值 'R'我们需要
解决Google Play商店出现“此设备未经Play保护机制认证”问题
kolacbb的博客
02-07 6万+
Google Play商店出现“此设备未经Play保护机制认证”问题 问题原因 一般是厂商或者是自定义 Rom 没有进行 Google play 认证导致的,自己也可以做一下认证 问题解决 Step 1: 下载 My Device IDs 应用查询 GSFID 酷安点这里 Or Google play 点这里 Step 2: 在应用内找到 Google 服务框架 Android ID (GSF ID)点击复制 Step 3: 点这里 进入Gogole 认证网站提交 刚才复制的ID Step 3: 等着就好
解决!Google Play 设备未获得Play保护机制认证
热门推荐
yangyi91171的专栏
07-01 15万+
1.下载DeviceID.APK,打开APP 2.复制GSF框架ID 3.进入网址https://www.google.com/android/uncertified/,进行设备注册 4.注册完成后手机打开飞行模式 5.按顺序清除以下app数据和缓存,并停止运行(需要一直点到停止运行按钮变成灰色,再操作下一个app) google框架,google服务,google商店 7.直接重启手机 8.按顺序清除以下app,并停止运行(需要一直点到停止运行按钮变成灰色,再操作下一个app) ...
[Err] 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL s
weixin_33853827的博客
06-18 4574
[Err] 1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near at line 3 MySQL 5.6,N...
转:Google SQL 注入搜索列表:2018最新版
ONS_cukuyo的博客
11-12 1万+
  这是一个Google注入查询列表(傻瓜式),更新于2018年;根据一些关键字和URL结构,可批量查询出存在安全隐患的站点。     可以用来搜索境外的站点来进行SQL注入练习和学习使用,切勿未授权对国内站点进行渗透测试。   SQL注入是一种攻击者利用未经验证的输入漏洞并通过在后端数据库中执行的Web应用程序注入SQL命令的技术。   谷歌搜索语法怎么用,想必大家应该都会了...
SECRET_KEY的重要性
lendq的Blog
12-02 2万+
SECRET_KEY SECTET_KEY 在 django在加密,安全方面都有很突出的用处 json object的签名 SELECT_KEY作用本质上是一个加
appid、appkey、appsecret、accesstoken,消息模板
dglf54292的博客
07-27 2559
app_id, app_key, app_secret , 对于平台来说, 需要给你的 你的开发者账号分配对应的权限:1. app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在数据库添加检索, 方便快速查找2 app_key 和 app_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_key+app_secret, 这样 平台就...
This guide describes how to create these types of CarPlay apps.
最新发布
02-23
3. **CarPlay应用指南** (CarPlay app guidelines): 提供了设计和实现CarPlay应用的规则和建议,以确保用户体验的一致性和安全性。 4. **开发环境** (Development environment): 讨论了用于构建CarPlay应用的工具和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值