Spring
java难民
这个作者很懒,什么都没留下…
展开
-
使用http动词篡改的认证旁路
可能会升级用户特权并通过 Web 应用程序获取管理许可权可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。测试结果似乎指示存在脆弱性,因为“测试响应”与“原始响应”完全相同,这表明动词篡改能够绕过站点认证。增加拦截器,判断请求方式是否合法,合法则放行。......原创 2022-06-09 14:53:37 · 1580 阅读 · 0 评论 -
CSRF跨站请求伪造漏洞修复
跨站请求伪造(Cross-site request forgery,简称CSRF),是一种常见的Web安全漏洞,由于在Web请求中重要操作的所有参数可被猜测到,攻击者可通过一些技术手段欺骗用户的浏览器去访问一个用户曾经认证过的网站,遂使攻击者可冒用用户的身份,进行恶意操作。经测试,服务器未校验Referer头,因此攻击者可以直接构造一个恶意的访问地址让用户在不知情的情况下访问从而实现CSRF恶意操作。增加拦截器,判断referer是否合法,合法则放行。......原创 2022-06-09 14:25:16 · 2999 阅读 · 0 评论 -
filter注入Service 报错问题
今天在开发一个小项目的时候用到filter ,像往常一样直接@Autowired service 层的那个接口,然后进行方法调用,但是程序执行到调用方法的哪一步报错。错误信息是空指针异常。后来找到解决方案:这块直接先贴代码。 private CustomerService customerService; public LoginFilter() { } ...原创 2018-05-03 13:23:55 · 1030 阅读 · 1 评论 -
过滤器和拦截器的区别
今天因为过滤器的一个问题查阅了相关的过滤器和拦截器的区别:1. 拦截器是基于java的反射机制的,而过滤器是基于函数回调。2. 拦截器不依赖与servlet容器,过滤器依赖与servlet容器。3. 拦截器只能对action请求起作用,而过滤器则可以对几乎所有的请求起作用。4. 拦截器可以访问action上下文、值栈里的对象,而过滤器不能访问。5. 在action的生命周期中,拦截器可...原创 2018-05-03 13:50:30 · 224 阅读 · 0 评论 -
java树形菜单后台代码
业务代码package com.bl.station.serviceimpl.itemcat;import com.bl.station.Bean.BeanValidator;import com.bl.station.Bean.TreeNode;import com.bl.station.entity.Itemcat;import com.bl.station.entity.It...原创 2018-09-03 17:11:14 · 2204 阅读 · 0 评论