如何写安全的Java Web应用之输入校验(二):不要依赖客户端的校验

最新推荐文章于 2023-11-23 10:26:12 发布
最新推荐文章于 2023-11-23 10:26:12 发布
阅读量2.1k 收藏
点赞数
分类专栏: 代码安全(JavaEE) 文章标签: web java javascript 服务器 浏览器 url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taomoon719/article/details/4439695
版权
本文强调了在开发Java Web应用时,不应过分依赖客户端的输入校验,因为客户端校验容易被绕过,存在安全隐患。服务器端校验是保障应用安全的关键,包括识别输入来源、理解输入含义并创建相应的校验器。同时,客户端校验可提升用户体验,但不能替代服务器端的安全控制。
摘要由CSDN通过智能技术生成

    相信很多人都有这样的体验:在某网站注册用户,提交时,弹出一个对话框,提示你身份证号码不对,密码位数不对等信息。这往往就是采用JavaScript进行的客户端输入校验。但是,为了安全,最好不要依赖客户端的输入校验,输入校验应该放到服务器端去做。

   如果一个web应用需要接受客户端的输入,那么往往对输入数据的长度、数值范围、类型等,都需要校验。客户端的校验是把校验放到浏览器里,由浏览器来执行校验代码,这样的代码很容易被忽略。

  

最低0.47元/天 解锁文章
taomoon719
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web应用程序完全测试指南
ljcjeff的专栏
12-02 1196
Web应用程序完全测试指南 发表于1小时前| 290次阅读| 来源TNW| 0 条评论| 作者Abhimanyu Ghoshal WebApp测试用户体验经验分享项目管理数据安全 摘要:大量的优质应用逐渐提升了用户的品味,也降低了用户的容忍度,如果你的Web应用无法使用户满意,那么很快会有其他应用来代替。这要求开发者从各方面对其进行测试,以便让用户在使用过程中不会出现
如何安全Java Web应用输入校验(一):不要在输出中包含Debug信息
taomoon719的专栏
08-12 1185
     在程序的过程中,免不了有调试环节。除了使用Debug工具,很多开发人员都习惯在代码中一些输出语句,以便找到问题所在。其实,在输出中包含Debug信息,有很多弊端,本文将通过简单例子,阐述为什么不应该在输出中包含Debug信息,以及如何解决这个问题。       因为Debug信息可能包含很多敏感信息,入调用栈、源代码片断等。所以,即使在开发期间Debug信息比较有用,但是在应
应用软件安全编程--27避免使用 DNS 名称作为安全性的依据
最新发布
奔跑的老吴
11-23 280
对避免使用DNS 名称作为安全性的依据的情况,示例给出了不规范用法(Java 语言)示例。程序中采用DNS 名称进行安全认证,但 DNS 名称是容易被攻击者进行欺骗的。以上代码片段中,如果发生 DNS 欺骗,会绕过安全验证。不要依赖 DNS 名称进行安全认证。
使用Javascript实现客户端数据验证
果然朝辉的博客
03-15 1353
1.获取表单中输入的数据2.验证表单中输入的数据<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> function validate(){ var at = docu
Struts2的输入校验实例代码
08-31
然而,客户端校验的缺点在于,其可以被轻易绕过,因此不能完全依赖客户端校验来保证数据的安全性。 2. **服务器校验**: 服务器校验是不可或缺的,因为它提供了更高级别的数据验证。Struts2支持两种服务器端...
ASP.NET MVC框架开发系列课程(18):客户端校验
06-20
在本课程"ASP.NET MVC框架开发系列课程(18):客户端校验"中,我们将深入探讨如何在客户端进行数据验证,以提供更好的用户体验和减少服务器负担。 客户端验证是在用户浏览器端进行的,它允许我们在用户提交表单之前...
101web漏洞挖掘之任意文件读取漏洞1
08-03
【任意文件读取漏洞详解】 ...总的来说,任意文件读取漏洞是Web应用安全的重要组成部分,理解和防范这类漏洞对于维护网络安全至关重要。开发者和安全人员需要时刻保持警惕,确保代码和系统的安全性。
网页中文本框自校验的标签-input
11-20
在网页开发中,输入验证是...通过合理利用这些属性,我们可以构建出更加安全、高效的Web表单,减轻服务器的压力,同时提升用户交互的质量。在实际项目中,熟练掌握和运用这些功能,无疑会使我们的代码更加简洁、高效。
struts2 短路校验客户端校验
03-17
Struts2是一个非常流行的Java Web框架,用于构建MVC(模型-视图-控制器)架构的应用程序。在Struts2中,数据校验是保证应用程序数据质量的重要环节。短路校验,也称为客户端校验,是一种优化用户体验的策略,它在...
不要过分依赖JS代码的验证
dukangcheng的博客
03-07 664
我们在做登录操作或者注册的时候,经常会使用JS验证的方式,来对登录、注册等表单进行操作。 这样做起来确实很方便,也为后台节省了很多的代码,减少了前后台之间的交互等等。        但是,因为前端的JS代码是在客户端也就是我们的浏览器上面跑的,在浏览器上面特别是向FireFox这样 具有调试功能的浏览器,它们可以对JS进行关闭操作,也就是你的浏览器一但设置了JS关闭,则整个所的JS 代
Javaweb学习笔记——(十四)—————— 服务器端验证注册登入表单项目
第二颗大白菜
06-06 4900
项目:https://download.csdn.net/download/qq_40223688/10463436项目 功能: *注册 *登录------------------------------------------------------------------JSP: *login.jsp --&gt; 登录表单 *regist.jsp --&gt; 注册表单 *index....
java 校验_java校验功能的使用
weixin_42322347的博客
02-16 458
JSR303校验的使用步骤给Bean添加校验注解:javax.validation.contrains, 并定义自己的message提示信息开启校验功能,在具体的方法参数中添加@Valid;这样校验出错是会有默认的错误响应信息给校验的bean后面紧跟一个BindingResult参数, 就可以获取到校验的结果分组校验(完成多场景的复杂校验)1.比如添加时必须为空;修改时不能为空的字段@Null(g...
阿里巴巴规约扫描、奇安信扫描bug修改建议
look_word的博客
12-23 3802
阿里巴巴规约扫描、奇安信扫描bug修改建议
软件安全测试之应用安全测试
热门推荐
行万里
03-02 3万+
先说几句废话,望大家海涵^_^ (如果你想从头开始一步步学习安全测试设计,请从我的上一篇文章开始一步步学习下去点击打开链接>,但如果因为工作进度很急,可以先跳过下面的”废话“直接参考总结好的测试方案) 说起安全测试,曾几何时在我心中一直是一种“高大上”的工作,它涉及软硬件、系统架构设计、代码/脚本开发、汇编/反汇编等多个技术层面;相关的技术人才也比较”贵“...从而导致了中小型互联网企业的产品
服务器校验(更重要)和客户端校验
奔跑在路上
05-11 5881
struts2提供了两种校验方式:服务器校验(更重要)和客户端校验 也分为:validate()校验方法、自定方法的义校验方法、校验框架校验方法三种,其中校验框架校验方法又分为两种:校验器优先校验器和字段优先校验器.(没有业务逻辑的校验) 1、通过validate()校验方法进行校验    我们只错误的情况,正确的情况我们不做处理。 注意:struts2当输入校验发生错
前端面试题(3)
dugudachen的博客
06-10 1974
1.HTML5中新增了哪些内容? 广义上的html5指的是最新一代前端开发技术的总称,包括html5,CSS3,新增的webAPI。 Html中新增了header,footer,main,nav等语义化标签,新增了video,audio媒体标签,新增了canvas画布。新增了一些标签属性,例如input的placeholder。 Css3中新增了:圆角,阴影,滤镜,vwvh单位,flex布局,媒体查询,过度和动画,伪类。 webAPI,新增了localStorage和sessionStorage,query
校验浅谈
weixingyan的专栏
11-05 577
Web应用程序中,为了防止客户端传过来的数据引发程序的异常,我们需要对用户输入的数据进行校验。对用户输入数据进行校验分为两个部分:一是校验输入数据的有效性;是在用户输入了无效的数据后向用户提示错误消息。 Struts2输入校验是建立在类型转换的基础之上,即先进行类型转换,再进行输入校验。它同时支持服务器校验客户端校验客户端校验一方面可以为服务器端过滤数据,另一方面可以减少网络流量,降低

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值