海浪博客|技术|游戏|生活|随心

本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。说说CSRF对CSRF来说，其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token（包括FORM表单和AJAX POST等），似乎是一个tag的事情，

在Web项目中，通常需要处理XSS,SQL注入攻击，解决这个问题有两个思路： 在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转义如果项目还处在起步阶段，建议使用第二种，直接使用jstl的标签即可解决非法字符的问题。当然，对于Javascript还需要自己处理一下，写一个方法，在解析从服务器端获取的数据时执行以下escapeHTML

参考资料1 跨网站脚本 http://zh.wikipedia.org/wiki/XSS2 http://code.google.com/p/xssprotect/一 跨网站脚本介绍     跨网站脚本（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其

import java.io.UnsupportedEncodingException;import java.security.InvalidKeyException;import java.security.NoSuchAlgorithmException;import java.security.SecureRandom;import javax.crypto.BadPadding

import java.security.Key;import java.security.Security;import javax.crypto.Cipher;import sun.misc.BASE64Decoder;import sun.misc.BASE64Encoder;public class DES { Key key;public DES(String