shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击

最新推荐文章于 2024-08-09 14:09:30 发布
最新推荐文章于 2024-08-09 14:09:30 发布
阅读量9k 收藏 5
点赞数
分类专栏: java spring java web spring security3 文章标签: shiro 设计 对象 csrf xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadowsick/article/details/41747931
版权
本文介绍如何通过设计一个可插拔、可定制的校验器来增强Shiro的安全性,以防止XSS和CSRF攻击。通过创建校验器接口、定义返回视图对象、编写执行类和具体实现,实现对数据对象属性的严格筛选和过滤,以满足业务中更复杂的数据安全需求。
摘要由CSDN通过智能技术生成

       很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发

脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到数据筛选的时候,可在第二重校验器实现我们的数据过滤


我就不啰嗦为何要设计的背景了,下面我就帖代码说明下自己的设计思路


1.写个总的校验器接口,利用泛型规定返回视图类型,还有校验对象的类型

package com.silvery.plugin.validator;

/**
 * 数据校验器接口
 * 
 * @author shadow
 * 
 * @param <R>
 *            视图类型
 * @param <T>
 *            校验对象
 */
public interface FormValidator<R, T> {

	public R validate(T t) throws FormValidateException;

}

2.定义一个返回视图的对象

package com.silvery.plugin.validator;

import java.util.Map;

/**
 * 数据校验结果视图
 * 
 * @author shadow
 * 
 */
public class FormValidateResult {

	private boolean success; // true=成功;false=失败
	privat
最低0.47元/天 解锁文章
小丑哥_V5
关注
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
shiro中实现防御CSRF攻击的token解决方案
qq_27555691的博客
09-06 1455
首先,代码核心逻辑来自https://blog.csdn.net/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
「网络安全渗透」如果你还不懂CSRF?这一篇让你彻底掌握
最新发布
2401_85773496的博客
08-09 1089
面试的时候的著名问题:“谈一谈你对 CSRF 与 SSRF 区别的看法”这个问题,如果我们用非常通俗的语言讲的话,CSRF 更像是钓鱼的举动,是用户攻击用户的;而对于 SSRF 来说,是由服务发出请求,用户。
Spring Security中防护CSRF功能
...
04-13 852
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
q1054261752的博客
02-24 179
采用Java实现的开源类库。基于filter拦截,将特殊字符替换为html转意字符, 需要拦截的点如:请求头requestHeader、请求体requestBody、请求参数requestParameter。c、关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法。网络安全-跨站脚本攻击(XSS)的原理、攻击及防御。shiroFilter之前已经讲过。防止sql注入风险。
安全框架Shiro
qq_42394862的博客
10-15 662
Shiro
Java的各种实验包括反射,算法,多线程,面试题,springboot,shiro,valid,XSSCSRF防御
10-03
接下来,“面试题”通常包括了对基础语法、设计模式、数据结构、算法以及特定技术的深度理解。例如,垃圾回收机制、JVM内存模型、Spring框架的工作原理等,都是Java开发者需要掌握的面试知识点。 “Spring Boot”是...
使用shiro安全管理
bluemoon_0的博客
02-20 116
使用shiro安全管理
Spring Security: Getting Started With The HttpSecurity
程序员光剑
08-06 755
19年6月1日,Spring Framework正式发布了5.2版本,这是Spring开发人员的一个里程碑事件。在过去的一段时间中,Spring Security也跟着推出了新的5.2.0版本,包括了许多新功能和改进。但是,许多开发人员仍然认为Spring Security是一个“过时”的框架,并且不建议在生产环境中使用它。很多开发人员相信,他们所使用的技术栈中的安全组件是过时的、脆弱的或有问题的。另一些开发人员则喜欢Spring Security,但却对其使用方式缺乏经验。
springshiro
06-24
spring集成shiro 和mongodb数据库 ,下载可用ini配置,启用mongo配置
企业员工角色权限管理平台(SpringBoot2.0+Mybatis+Shiro+Vue)
08-07
课程简介:历经半个多月的时间,Debug亲自撸的 “企业员工角色权限管理平台” 终于完成了。正如字面意思,本课程讲解的是一个真正意义上的、企业级的项目实战,主要介绍了企业级应用系统中后端应用权限的管理,其中主要涵盖了六大核心业务模块、十几张数据库表。 其中的核心业务模块主要包括用户模块、部门模块、岗位模块、角色模块、菜单模块和系统日志模块;与此同时,Debug还亲自撸了额外的附属模块,包括字典管理模块、商品分类模块以及考勤管理模块等等,主要是为了更好地巩固相应的技术栈以及企业应用系统业务模块的开发流程! 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了前端和后端的大部分常用技术,包括Spring Boot、Spring MVC、Mybatis、Mybatis-Plus、Shiro(身份认证与资源授权跟会话等等)、Spring AOP、防止XSS攻击防止SQL注入攻击、过滤Filter、验证码Kaptcha、热部署插件Devtools、POI、Vue、LayUI、ElementUI、JQuery、HTML、Bootstrap、Freemarker、一键打包部署运行工具Wagon等等,如下图所示: 课程内容与收益: 总的来说,本课程是一门具有很强实践性质的“项目实战”课程,即“企业应用员工角色权限管理平台”,主要介绍了当前企业级应用系统中员工、部门、岗位、角色、权限、菜单以及其他实体模块的管理;其中,还重点讲解了如何基于Shiro的资源授权实现员工-角色-操作权限、员工-角色-数据权限的管理;在课程的最后,还介绍了如何实现一键打包上传部署运行项目等等。如下图所示为本权限管理平台的数据设计图: 以下为项目整体的运行效果截图: 值得一提的是,在本课程中,Debug也向各位小伙伴介绍了如何在企业级应用系统业务模块的开发中,前端到后端再到数据库,最后再到服务的上线部署运行等流程,如下图所示:
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 449
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
shiro学习
weixin_34113237的博客
12-25 166
简介: Apache Shiro 是 Java 的一个安全框架Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在 JavaSE 环境,也可以用在 JavaEE 环境。Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其基本功能点如下图所示: Authenticat...
Shiro权限管理】1.Shiro简介
程序猿之洞
10-14 2135
一、简介 在Web系统中我们经常要涉及到权限问题,例如不同角色的人登录系统,他操作的功能、按钮、菜单是各不相同的,这就是所谓的权限。 Apache Shiro是Java的一个安全(权限)框架Shiro可以完成认证、授权、加密、会话管理、Web集成、缓存等功能。适用于JavaSE和JavaEE。 关于安全框架,还有一个Spring Security框架,不过目前使用率比较高的还是Apac
shiro漏洞部分修复方法
web13293720476的博客
08-24 271
在程序内配有java类XssHttpServletRequestWrapperNew适配,确定泰安那边的是否有这个类,若没有则加上。这个类引用到的相关类也修改.(SessionFilter)
shiro安全框架扩展教程--如何防止可执行文件的入侵攻击【转】
chengyunyi的专栏
01-12 757
前面的教程有一章是讲解如何突破上传的,当被人通过上传功能突破的防线那就杯具了,有点hack知识的人都知道,很多攻击都是优先寻找上传的功能,因为能突破 就会剩下很多的功夫,比如hack上传了一个asp,php或者jsp文件,然后通过抓包路径获取了文件存放地址,然后直接请求就能通过这个可执行的文件获取到数据库的信息, 或者是遍历目录下载文件,寻找文件中的其他漏洞以获得更高的权限,下面我就演示下简单
Java私塾《深入浅出学Shiro》- Shiro安全框架全面教程
最后,Shiro的缓存管理部分介绍了Shiro的Caching API,如何配置和使用缓存,以及如何与其他缓存框架集成,还讨论了解决缓存数据同步更新的方案。 通过这个全面的教程,开发者可以深入理解Apache Shiro安全机制,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值