项目开发中安全问题以及解决办法——客户请求需要校验

最新推荐文章于 2024-07-21 21:28:13 发布

ADRU

最新推荐文章于 2024-07-21 21:28:13 发布

阅读量336

点赞数 8

分类专栏：分布式项目调优文章标签：安全 oracle windows java

本文链接：https://blog.csdn.net/m0_71507863/article/details/135681550

版权

分布式项目调优专栏收录该内容

29 篇文章 0 订阅

订阅专栏

本文讨论了一个JavaWeb应用中如何防止用户获取白名单之外的数据库数据，通过示例展示了`@RequestParam`和SpringValidation的使用，以及隐藏域可能带来的安全风险。

摘要由CSDN通过智能技术生成

@Slf4j
@RequestMapping("trustclientdata")
@Controller
public class TrustClientDataController {
 //所有支持的国家
 private HashMap<Integer, Country> allCountries = new HashMap<>();
 public TrustClientDataController() {
 allCountries.put(1, new Country(1, "China"));
 allCountries.put(2, new Country(2, "US"));
 allCountries.put(3, new Country(3, "UK"));
 allCountries.put(4, new Country(4, "Japan"));
 }
 @GetMapping("/")
 public String index(ModelMap modelMap) {
 List<Country> countries = new ArrayList<>();
 //从数据库查出ID<4的三个国家作为白名单在页面显示
 countries.addAll(allCountries.values().stream().filter(country -> country.getId()<4).collect(Collectors.toList()));
 modelMap.addAttribute("countries", countries);
 return "index";
 }
} 
...
<form id="myForm" method="post" th:action="@{/trustclientdata/wrong}">
 <select id="countryId" name="countryId">
 <option value="0">Select country</option>
 <option th:each="country : ${countries}" th:text="${country.name}" th:value="${country.id}"></option>
 </select>
 <button th:text="Register" type="submit"/>
</form>
...

比如上面的情况，我们从数据库存储的国家中选择其中三个作为白名单进行展示，选择条件是id<4

前端展示如下：

正常情况下用户只能看到id<4的数据

@PostMapping("/wrong")
@ResponseBody
public String wrong(@RequestParam("countryId") int countryId) {
 return allCountries.get(countryId).getName();
}

这时候添加了新的网关接口，如果此时用户传入了4 ，比如下面的请求

curl http://localhost:45678/trustclientdata/wrong\?countryId=4 -X POST

很明显这样就会拿到了不是白名单中的数据

解决办法：

@PostMapping("/right")
@ResponseBody
public String right(@RequestParam("countryId") int countryId) {
 if (countryId < 1 || countryId > 3)
 throw new RuntimeException("非法参数");
 return allCountries.get(countryId).getName();
}

或者使用spring validation，代码如下：

@Validated
public class TrustClientParameterController {
 @PostMapping("/better")
 @ResponseBody
 @ResponseBody
 public String better(
 @RequestParam("countryId")
 @Min(value = 1, message = "非法参数")
 @Max(value = 3, message = "非法参数") int countryId) {
 return allCountries.get(countryId).getName();
 }
}

客户端提交的参数需要校验的问题，可以引申出一个更容易忽略的点是，我们可能会把一些服务端的数据暂存在网页的隐藏域中，这样下次页面提交的时候可以把相关数据再传给服务端。虽然用户通过网页界面的操作无法修改这些数据，但这些数据对于 HTTP 请求来说就是普通数据，完全可以随时修改为任意值。所以，服务端在使用这些数据的时候，也同样要特别小心。

ADRU

关注

8
点赞
踩
10

收藏

觉得还不错? 一键收藏
打赏
0
评论
项目开发中安全问题以及解决办法——客户请求需要校验

客户端提交的参数需要校验的问题，可以引申出一个更容易忽略的点是，我们可能会把一些服务端的数据暂存在网页的隐藏域中，这样下次页面提交的时候可以把相关数据再传给服务端。虽然用户通过网页界面的操作无法修改这些数据，但这些数据对于 HTTP 请求来说就是普通数据，完全可以随时修改为任意值。所以，服务端在使用这些数据的时候，也同样要特别小心。比如上面的情况，我们从数据库存储的国家中选择其中三个作为白名单进行展示，选择条件是id
复制链接

扫一扫