web程序安全策略

最新推荐文章于 2024-02-28 09:45:00 发布
最新推荐文章于 2024-02-28 09:45:00 发布
阅读量136 收藏
点赞数 2
分类专栏: javaweb 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52612109/article/details/124603698
版权

web安全策略-java初级

拦截器

	该拦截器实现HandlerInterceptor接口,可根据业务重写方法实现请求拦截,这里我的代码采用的是对一个自定义
	请求头拦截
	
	preHandle:在服务层处理之前被调用,一般用户鉴权,token验证,uri或者ip拦截
	postHandle:服务层调用之后,返回视图之前被调用
	afterCompletion:在DispatcherServlet完全处理完请求后被调用

import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author DKH
 */
public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        return request.getHeader("reqid") != null && request.getHeader("reqid").equals("dkh");
    }
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }

}

需要将拦截器注册到容器中,并设置跨域

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class CorsConfig implements WebMvcConfigurer {
        @Bean
        public CorsFilter corsFilter() {
            //添加 CORS配置信息
            CorsConfiguration config = new CorsConfiguration();
            //放行哪些原始域
            config.addAllowedOriginPattern("*");
            //是否发送 Cookie
            config.setAllowCredentials(true);
            //放行哪些请求方式
            config.addAllowedMethod("*");
            //放行哪些原始请求头部信息
            config.addAllowedHeader("*");
            //暴露哪些头部信息
            config.addExposedHeader("*");
            //2. 添加映射路径
            UrlBasedCorsConfigurationSource corsConfigurationSource = 
            new UrlBasedCorsConfigurationSource();
            corsConfigurationSource.registerCorsConfiguration("/**",config);
            //3. 返回新的CorsFilter
            return new CorsFilter(corsConfigurationSource);
        }
        @Bean
        public AuthInterceptor initAuthInterceptor(){
            return new AuthInterceptor();
        }

        @Override
        public void addInterceptors(InterceptorRegistry registry) {
            registry.addInterceptor(initAuthInterceptor()).addPathPatterns("/**");
        }

}

数据加密

在进行接口数据之前,前后端应进行商讨采用何种加密方式、加密密钥、解密规则
这里博主采用AES/ECB/PKCS5Padding加密规则

   //密钥 (需要前端和后端保持一致)
   private static final String KEY = "xxxxxxxxxxxxxxx";
   //算法
   private static final String ALGORITHMSTR = "AES/ECB/PKCS5Padding";

   /**
    * base 64 encode
    */
   public static String base64Encode(byte[] bytes){
       return Base64.encodeBase64String(bytes);
   }
   /**
    * aes加密
    */
   public static String aesEncrypt(String content) {
       try {
           return aesEncrypt(content, KEY);
       } catch (Exception e) {
           e.printStackTrace();
           return "";
       }
   }
   /**
    * AES加密
    */
   public static byte[] aesEncryptToBytes(String content, String encryptKey)throws Exception
   {
       KeyGenerator kgen = KeyGenerator.getInstance("AES");
       kgen.init(128);
       Cipher cipher = Cipher.getInstance(ALGORITHMSTR);
       cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(encryptKey.getBytes(), "AES"));
       return cipher.doFinal(content.getBytes(StandardCharsets.UTF_8));
   }


   /**
    * AES加密为base 64 code
    */
   public static String aesEncrypt(String content, String encryptKey) throws Exception {
       return base64Encode(aesEncryptToBytes(content, encryptKey));
   }



前端解密

	/**
	 * 解密
	 */
	export function decrypt(word){
	  const key = CryptoJS.enc.Utf8.parse("xxxxxxxxxxxxxxx");
	  const decrypt = CryptoJS.AES.decrypt(word, key, {mode:CryptoJS.mode.ECB,padding: CryptoJS.pad.Pkcs7});
	  return CryptoJS.enc.Utf8.stringify(decrypt).toString();
	}

请求限制

针对恶意请求的ip进行封禁,这里使用的是自定义注解并结合AOP,将用户的请求ip和uri存入内存,并设置过期时间
也可以使用redis进行缓存处理

import java.lang.annotation.*;

/**
 * @author DKH
 */

@Documented
@Target(ElementType.METHOD) // 说明该注解只能放在方法上面
@Retention(RetentionPolicy.RUNTIME)
    public @interface RestrictionRequest {
        long time() default 3000; // 限制时间 单位:毫秒
        int count() default 3; // 允许请求的次数
}

AOP

import com.dkh.common.annotation.RestrictionRequest;
import com.dkh.entity.AjaxResult;
import net.jodah.expiringmap.ExpirationPolicy;
import net.jodah.expiringmap.ExpiringMap;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.springframework.stereotype.Component;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import javax.servlet.http.HttpServletRequest;
import java.util.concurrent.ConcurrentHashMap;
import java.util.concurrent.TimeUnit;

/**
 * @author DKH
 */
@Aspect
@Component
public class RestrictionRequestAspect {

    private static ConcurrentHashMap<String, ExpiringMap<String, Integer>> book = new ConcurrentHashMap<>();


    @Pointcut("@annotation(RestrictionRequest)")
    public void excudeService(RestrictionRequest limitRequest) {

    }

    @Around("excudeService(RestrictionRequest)")
    public Object doAround(ProceedingJoinPoint pjp, RestrictionRequest limitRequest) throws Throwable {
        // 获得request对象
        RequestAttributes ra = RequestContextHolder.getRequestAttributes();
        ServletRequestAttributes sra = (ServletRequestAttributes) ra;
        HttpServletRequest request = sra.getRequest();
        System.out.println("url="+request.getRequestURL()+";User-Agent="+request.getHeader("User-Agent"));
        ExpiringMap<String, Integer> uc = book.getOrDefault(request.getRequestURI(), ExpiringMap.builder().variableExpiration().build());
        Integer uCount = uc.getOrDefault(request.getHeader("User-Agent"), 0);
        // 超过次数,不执行目标方法
        if (uCount >= limitRequest.count()) {
            return AjaxResult.success("接口访问过多!");
            // 第一次请求时,设置有效时间
        } else if (uCount == 0){
            uc.put(request.getRemoteAddr(), uCount + 1, ExpirationPolicy.CREATED, limitRequest.time(), TimeUnit.MILLISECONDS);
        } else { // 未超过次数, 记录加一
            uc.put(request.getRemoteAddr(), uCount + 1);
        }
        book.put(request.getRequestURI(), uc);
        return pjp.proceed();
    }


}
do{a++b++}while(a&b)
关注
专栏目录
项目中的网络安全策略取舍与总结
qq_26976669的博客
03-11 759
一、前言 web服务中,用户输入用户名密码登入之后,后续访问网站的其他功能就不用再输入用户名和密码了。因此,身份验证引起的网络安全在所有企业级项目中都是个必须去探讨的话题,并一定针对不同的安全隐患设置相应的防范策略。 下面分享几个我从项目中总结提炼出来的一些网络安全经验。 首先我们先来巩固一下两种常用的身份验证机制: 二、两种身份验证机制 1. cookie-session机制 传统的身份校验机制...
WEB开发安全与防御策略
01-13
web开发的安全细节概述,包括安全开发概论,验证机制,会话机制,代码注入,路径遍历等等
网站程序安全策略
weixin_33979363的博客
03-02 149
我们在开发一个网站的时候,不单单是想着把功能实现就OK了,它的性能,安全,效率等我们都要考虑进去,经常听见别人说自己网站被黑客攻击,被挂木马,这些有可能是服务器的漏洞,也有可能是程序的漏洞,现在就来简单的介绍几种网站安全策略: 1 sql注入(现在还不太明白别人是通过什么方式进行sql注入,正在研究中)安全策略: 在根目录下面创建一个asax文件,在Application_BeginReque...
web项目安全策略
lcdsda的专栏
09-30 1130
今天老大指导了一下我,对于自己的项目要做好安全措施。 网络安全的攻防其实是个博弈问题,不存在完全破解不了的安全措施,只是这个安全措施的破解难度有多大,被破解的价值有多大。   从项目的角度: 1、防注入。不管是从登录界面,项目具体界面的文本框等,凡是存在有可以注入的地方,
app安全策略
最新发布
qq_63980959的博客
02-28 1248
​ 建议用户名或密码输入错误均提示“用户名或密码错误”,若移动客户端同时还希望保证客户使用的友好性,可以在登陆界面通过温馨提示的方式提示输入错误次数,密码安全策略等信息,以防用户多次输入密码错误导致账号锁定。​ 建议在服务器编写响应移动客户端提出退出登录状态的逻辑代码,保证移动客户端在用户退出登录状态时同服务器完成数据交互,真正完成退出(而不是通过心跳包判定退出),以防止攻击者进行重放攻击。​ 建议在服务端编写账户锁定策略的逻辑,当一天内多次输入密码错误时根据IP进行账号锁定以防止攻击者通过暴力猜解密码。
网站安全-安全策略
weixin_41868328的博客
05-29 1697
网站安全,对于网站相关开发人员来说是个老生常谈的问题,网站开发的历史,在国内大约有二十年了,所以各方面的资料都比较丰富。以下内容有部分从网络整理而来,部分是自己的体会。 主要参考《白帽子讲web安全》一,开发者必须要有基本的网站安全开发常识,比如0day、sql-injection、XSS、CSRF、恶意上传(脚本语言的网站尤其要注意)等,这些资料网上有很多,可以自行搜索。安全相关的文档可以考虑标...
Linux服务器安全策略全接触之二——Web服务器安全策略.pdf
09-07
"Linux服务器安全策略全接触之二——Web服务器安全策略" 本文将详细介绍 Linux 服务器安全策略中的 Web 服务器安全策略,涵盖 Web 服务器安全隐患、Apache 服务器安全配置技巧和 Linux 中的安全策略Web 服务器...
secureapp:用于管理安全 Web 应用程序策略的 Web 应用程序
07-04
开发者可以利用此工具实施和维护严格的安全策略,同时利用JavaScript的灵活性和广泛支持来构建用户友好的界面和强大的后台逻辑。项目结构清晰,便于理解和维护,同时也考虑到了测试和部署的便捷性。对于任何涉及敏感...
Web服务器系统安全策略
03-15
Web服务器系统安全策略】 在IT领域,尤其是网络服务中,Web服务器的安全性至关重要。本文将详细介绍如何在Windows和.NET环境中配置高安全性的Web服务器,包括IIS的配置、注册表调整、端口管理、服务优化、日志...
Web安全策略整理
u012475786的专栏
05-08 1364
一、加密策略方式选择: 不可逆加密:无法逆向解密的加密方式,目前主流方案是MD5和SHA1加密算法策略;但是存在暴力解密的风险; 对称加密:对称加密是双方统一加密规则进行明文加密/解密,AES加密策略就属于对称加密;当不法分子获取到加密规则时,就可以逆向解密的风险极高;(前端依赖包:crypto-js) 非对称加密:非对称采用双密钥机制进行加密/解密,由服务器端统一生成公钥/私钥,然后前端通过公钥进行明文加密,服务器端用私钥对密文进行逆向解密。同时每次加密明文生成的密文是不一样的。所以安全性极高;RSA加
Web内容安全策略浅析
we452366的博客
08-17 444
前言 Web安全问题一直是前端领域一个绕不开的话题,但很多前端人员对Web的相关安全策略都只停留在面试过程中,本文主要是对上线过程中遇到的安全问题踩坑进行了一个总结,旨在对Web安全相关问题能有一个更为立体切身的体会,也希望能给大家提供一些踩坑时候的参考。 背景 XSS vs CSRF XSS XSS是Cross-site scripting的缩写,为了和Cascading Style Sheets进行区分,因而将其简写为XSS: Cross-site scripting (XSS) is a secu.
SpringBoot使用redis实现token自动存储和设定过期时间
weixin_44727617的博客
08-12 4534
SpringBoot使用redis实现token自动存储和设定过期时间
Webwork使用Interceptor进行登录验证
我的世界我的梦
04-01 2037
所谓登录验证,就是在执行action之前,判断用户是否登录,这点和struts的filter比较类似,但是和struts filter不同的是,webwork的interceptor可以访问action中的资源JSP: ...@ page language="java" contentType="text/html; charset=GB18030"    pageEncoding
拦截器(Interceptor)和过滤器(Filter)的执行顺序和区别
qq_43154385的博客
12-28 1059
一、执行顺序: 1.我本来想看拦截器实现HandlerInterceptor接口的三个方法在springMVC工作流程上的哪些地方进行处理,然后在多个地方看到这个图: 其实这个图它不对,我在图上已经标记了一个错误的地方,Interceptor它一般拦截的是controller中的方法,它不拦截jsp、servlet、filter,也就是说它不应该放在dispatcherServlet之前,...
线程
qq_52612109的博客
04-22 4924
多线程一、进程、线程1.1 进程1.2 线程1.3 java程序的进程和线程1.4 主线程、子线程 一、进程、线程 java语言之所以有多线程,目的是提高程序的运行效率。 1.1 进程 进程是一个应用程序(一个进程是一个软件)。 1.2 线程 线程是一个进程中的执行场景、执行单元。一个进程可以启动多个线程 1.3 java程序的进程和线程 对于java程序来说,当在DOS命令窗口中输入: java HelloWorld 回车之后。会先启动JVM,而JVM就是一个进程。
web安全基础
503 Serivice Unavailable
07-26 378
“一切输入和输出都是有害的,宁可错杀一千不可放过一个” 导致web安全漏洞的产生主要原因有:输入输出验证的不够充分,设计缺陷还有代码缺陷 Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称,在我们的生活中具有相当广泛的应用,而这些应用大多不是静态的网页,而是会涉及到服务器的动态处理,如果php,ASP的编程语言的工作人员对于输入输出的检查不够严格,就会对web应用的网络安...
如何提升Web项目安全性(经验小结)
weixin_43645811的博客
07-06 2354
WebAPI安全性、数据安全、Web系统安全、Web项目安全措施
WEB安全基础
m0_57929980的博客
06-23 1607
WEB安全基础知识
Web应用程序漏洞分析与安全构建
这篇论文详细阐述了Web应用程序安全的多个方面,首先介绍了Web应用程序的发展,从早期的静态页面到现在的高度交互式Web2.0应用,这些应用如Gmail和Google Maps等,都是动态网页技术进步的结果。随着技术的发展,Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

do{a++b++}while(a&b)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值